El envío a través de la WhatsApp Business API resulta atractivo para muchos casos de uso B2C: confirmaciones de reserva, notificaciones de envío, recordatorios de citas, atención al cliente. Al mismo tiempo, este canal plantea cuestiones de protección de datos que usted, como responsable del tratamiento, debe resolver antes de enviar mensajes en producción.
Auf einen Blick
- Los mensajes pasan obligatoriamente por servidores de Meta en Estados Unidos. Base jurídica: EU-US Data Privacy Framework, complementado con cláusulas contractuales tipo.
- Necesita un Contrato de Encargado de Tratamiento (DPA) con seven.io y debe conocer los WhatsApp Business Terms y el DPA de Meta.
- El envío a usuarios finales requiere un consentimiento documentado, idealmente mediante doble opt-in.
- Su política de privacidad debe ampliarse con un apartado dedicado a WhatsApp.
¿Quién interviene?
| Actor | Función | Sede |
|---|---|---|
| Usted como cliente de seven.io | Responsable del tratamiento conforme al RGPD | Su país |
| seven.io | Encargado del tratamiento (art. 28 RGPD) | Alemania |
| Meta Platforms Ireland Ltd. | Parte contratante para WhatsApp Business en el EEE | Irlanda |
| Meta Platforms, Inc. | Operadora de la infraestructura en la nube | Estados Unidos |
| Destinatario final | Interesado | A nivel mundial |
Así fluyen los datos:
Transferencia a un tercer país hacia Meta (EE. UU.)
En cada envío se transfieren obligatoriamente datos personales a los sistemas de Meta:
- el número de teléfono del destinatario,
- el contenido del mensaje (texto, archivos multimedia, plantillas, variables),
- los metadatos técnicos (momento de entrega, estado de lectura/recepción, códigos de error).
Según Meta, el contenido de los mensajes de WhatsApp entre el negocio y el usuario final está cifrado en tránsito, pero resulta accesible para Meta como operador de la nube en la medida en que sea necesario para prestar el servicio. Por ello, un tratamiento en Estados Unidos por parte de Meta Platforms, Inc. es técnicamente inevitable y constituye una transferencia a un tercer país en el sentido del Capítulo V del RGPD.
Base jurídica para la transferencia a un tercer país
Desde el 10 de julio de 2023 existe, con el EU-US Data Privacy Framework (DPF), una decisión de adecuación de la Comisión Europea. Meta Platforms, Inc. declara estar certificada bajo el DPF. Las transferencias a destinatarios estadounidenses certificados conforme al DPF pueden, por tanto, basarse en principio en el art. 45 RGPD.
De forma complementaria, Meta y seven.io siguen utilizando cláusulas contractuales tipo de la UE (SCCs, art. 46 RGPD) como respaldo en caso de que decaiga el estatus DPF o de que ciertos tratamientos no queden cubiertos.
Achtung
Pese al DPF, persisten los riesgos residuales derivados del caso Schrems II: las facultades de acceso de las autoridades de seguridad estadounidenses (FISA 702, Executive Order 12333), la efectividad práctica de los mecanismos de tutela creados por la Executive Order 14086 y posibles futuros procedimientos ante el TJUE. Para datos sensibles se recomienda una valoración documentada de los riesgos (Transfer Impact Assessment, TIA).
Qué contratos necesita
1. Contrato de Encargado de Tratamiento (DPA) con seven.io
Dado que seven.io envía mensajes por encargo suyo, debe celebrar un DPA conforme al art. 28 RGPD. seven.io pone a su disposición el contrato correspondiente.
2. Base contractual frente a Meta
El uso se rige adicionalmente por los WhatsApp Business Terms of Service y el WhatsApp Business Data Processing Addendum (DPA) de Meta. Meta actúa como encargado del tratamiento para determinadas operaciones, mientras que para otras (seguridad/integridad de la plataforma) puede actuar como responsable propio o corresponsable. La función exacta de Meta en cada caso se desprende de los documentos contractuales actuales de Meta.
Tipp
Documente la función de Meta en cada paso del tratamiento dentro de su Registro de Actividades de Tratamiento (RAT).
Base jurídica para el envío a usuarios finales
La transferencia a Meta es un aspecto. Igual de importante es la pregunta: ¿con qué base jurídica envía usted realmente mensajes a sus destinatarios?
El consentimiento como regla general
Para enviar mensajes de WhatsApp suele ser necesario un consentimiento documentado y expreso conforme al art. 6.1.a) RGPD. WhatsApp es un canal privado y, por tanto, el listón para un contacto directo es alto.
De forma complementaria se aplican:
- § 7 UWG (Ley alemana contra la competencia desleal): la comunicación publicitaria requiere consentimiento previo.
- TDDDG (anteriormente TTDSG): requisitos adicionales en cuanto se accede al dispositivo del destinatario o se almacena información en él.
Transaccional vs. publicitario
| Criterio | Transaccional | Publicitario |
|---|---|---|
| Ejemplos | Confirmación de reserva, estado de envío, recordatorio de cita | Promociones, descuentos, newsletter, venta cruzada |
| Base jurídica | Contrato/medidas precontractuales (art. 6.1.b)), opt-in recomendado | Consentimiento obligatorio (art. 6.1.a)) |
| § 7 UWG | Por lo general no aplica | Aplica |
| Recomendación práctica | Opt-in documentado y específico del canal | Opt-in documentado y específico del canal |
Wichtig
Ejemplo: Un restaurante confirma reservas por WhatsApp. En el formulario de reserva figura una casilla clara "Enviar confirmación por WhatsApp", que no está marcada por defecto. Esa es la vía limpia, aunque el mensaje en sí sea transaccional.
Recomendación: doble opt-in
En el doble opt-in el destinatario introduce su número y confirma a continuación de forma activa por WhatsApp (por ejemplo, enviando una palabra clave o haciendo clic en un enlace de confirmación). Así demuestra usted que el número pertenece efectivamente a quien presta el consentimiento.
Conserve, para cada consentimiento, al menos: fecha y hora, texto exacto, fuente (por ejemplo, URL del formulario web), dirección IP o prueba equivalente y una vinculación inequívoca al número de teléfono.
Adaptación de su política de privacidad
| Contenido | Qué debe incluir |
|---|---|
| Identificación del canal | "WhatsApp Business API" |
| Destinatarios | Meta Platforms Ireland Ltd. y Meta Platforms, Inc. (EE. UU.) |
| Transferencia internacional | Mención a EE. UU., al EU-US Data Privacy Framework y a las SCCs complementarias |
| Base jurídica | Art. 6.1.a) RGPD (en su caso, 6.1.b) para la ejecución de un contrato) |
| Plazo de conservación | Para números, contenidos de mensajes y datos de registro |
| Revocación | Mención al derecho de revocación en cualquier momento y forma sencilla de ejercerlo (p. ej. "STOP" por WhatsApp) |
| Riesgo residual | Aviso comprensible para legos sobre la transferencia a EE. UU. |
Una posible orientación de redacción (no es un texto jurídico definitivo):
Utilizamos la WhatsApp Business API para contactarle por las vías que
usted haya elegido. Para ello, su número de teléfono y el contenido del
mensaje se transmiten a Meta Platforms Ireland Ltd. y a Meta Platforms,
Inc. (EE. UU.). La base jurídica es su consentimiento conforme al
art. 6.1.a) RGPD. La transferencia a EE. UU. se realiza sobre la base
del EU-US Data Privacy Framework, complementado con cláusulas
contractuales tipo. Puede revocar su consentimiento en cualquier momento
con efectos para el futuro.Vorsicht
Encargue la redacción concreta a su delegado de protección de datos o a un abogado especializado. No sustituye al asesoramiento jurídico individual.
Lista de comprobación práctica
- Registrar el opt-in de cada destinatario y canal de forma documentada (fecha, texto, fuente).
- DPA con seven.io firmado y archivado en el gestor documental.
- WhatsApp Business Terms y DPA de Meta revisados y función asignada.
- Política de privacidad ampliada con un apartado para WhatsApp.
- Registro de Actividades de Tratamiento (RAT) ampliado con el envío por WhatsApp.
- Procesos definidos para acceso, rectificación, supresión y revocación.
- Transfer Impact Assessment (TIA) elaborado y mantenido al día para la transferencia a EE. UU.
- Empleados que envían o responden mensajes de WhatsApp formados en protección de datos.
Preguntas frecuentes
¿Necesito un opt-in incluso para meras confirmaciones de pedido?
Jurídicamente es discutido. El § 7 UWG normalmente no aplica a mensajes puramente transaccionales y el art. 6.1.b) RGPD ampara, en principio, el envío. En la práctica, muchas autoridades de control recomiendan, sin embargo, un opt-in específico del canal, ya que WhatsApp es un canal privado y el destinatario debería consentir explícitamente ser contactado precisamente por ahí.
¿Basta con el EU-US Data Privacy Framework como base jurídica?
Para la mera transferencia a un tercer país, sí. Aun así persisten riesgos residuales derivados de las leyes estadounidenses de vigilancia, motivo por el que seven.io y Meta utilizan adicionalmente cláusulas contractuales tipo y por el que es recomendable un Transfer Impact Assessment.
¿Qué ocurre si se revoca un consentimiento?
Debe detener el envío al número que ha revocado, marcar la documentación del consentimiento como "revocada" y comprobar si tiene que eliminar el número de las listas de contactos activas. En el caso de plantillas de WhatsApp, la revocación afecta únicamente a las plantillas de marketing: los mensajes transaccionales en el marco de un contrato vigente siguen siendo admisibles si existe una base jurídica propia para ellos.
¿Cuánto tiempo puedo conservar los mensajes de WhatsApp?
No existe un plazo rígido. Conserve los datos solo el tiempo necesario para la finalidad. Los registros de marketing suelen suprimirse tras la revocación o, a más tardar, transcurridos 3 años; los datos transaccionales se rigen por los plazos de conservación mercantiles y fiscales.
Aviso
Este artículo tiene carácter meramente informativo y refleja el estado en la fecha de publicación. No sustituye al asesoramiento jurídico individual. Acuerde las implementaciones concretas con su propio delegado de protección de datos o con un abogado especializado.