GDPR/LFPDPPP + WhatsApp: opt-in, consentimiento y auditoría (playbook)
La multa del GDPR llega al 4% de la facturación global (techo de € 20 millones). En México, la LFPDPPP puede sancionar con hasta ~21 millones de UMA. Pero el problema real para una PYME no es la multa — es el cliente reclamando al regulador (AEPD en España, INAI en México), la denuncia, el daño de imagen y el número de WhatsApp baneado. Este playbook es práctico: cómo recoger un opt-in válido, almacenar la prueba, procesar la solicitud de eliminación y estar listo si la autoridad toca a la puerta mañana.
⚠️ Aviso: este contenido es informativo. No sustituye la consulta con un abogado especializado en protección de datos. Si tu operación procesa volúmenes relevantes de datos personales, contrata DPO o asesoría legal.
Lo que dicen GDPR y LFPDPPP, en una frase
Solo puedes tratar el dato personal de una persona (incluyendo su número de WhatsApp) si tienes base legal. Para el marketing por WhatsApp, la base típica bajo GDPR es el consentimiento (art. 6.1.a); bajo la LFPDPPP mexicana, también el consentimiento del titular (art. 8). Sin consentimiento, no puedes mandar promociones. Quien te escribió primero para una consulta entra en otra base (interés legítimo o ejecución de contrato).
2 escenarios, 2 reglas distintas
🟢 Escenario A: el cliente te escribe primero
El cliente te contacta por WhatsApp para preguntar por un producto, agendar o comprar. Puedes:
- Responder a la conversación con normalidad (ejecución de contrato + interés legítimo).
- Guardar los datos que proporcionó en el chat (nombre, dirección, preferencias).
- Enviar mensaje transaccional relacionado (confirmación, estado del pedido).
NO puedes: usar esos datos para marketing posterior sin un opt-in adicional explícito.
🟡 Escenario B: tú inicias la conversación
Quieres mandar promoción, recordatorio, novedad — cualquier broadcast activo. Necesitas:
- Opt-in explícito (el cliente marcó casilla específica autorizando WhatsApp marketing).
- Registro de cuándo y cómo se dio el opt-in.
- Opción fácil de baja (opt-out por palabra clave tipo "BAJA").
- Aviso de privacidad público que explique para qué se usa el dato.
Qué es un opt-in VÁLIDO
3 requisitos acumulativos (GDPR art. 4.11 + 7; LFPDPPP exige consentimiento informado, expreso y libre):
- Libre: sin coacción. No puede ser "acepta o no uses el servicio".
- Informado: el cliente sabe quién recoge, para qué, por cuánto tiempo.
- Inequívoco: acción afirmativa explícita. Casilla pre-marcada NO vale.
3 formas legítimas de recoger opt-in para WhatsApp
1. Formulario en sitio web/checkout
[ ] Quiero recibir promociones y novedades por WhatsApp
de [Tu Empresa] al número (XX) XXXX-XXXX.
Puedo cancelar en cualquier momento. Ver
[Aviso de Privacidad].
Guarda en la base: nombre, teléfono, fecha/hora, IP, texto exacto de la declaración aceptada.
2. Opt-in por palabra clave en WhatsApp
El cliente que te escribió primero puede autorizar marketing así:
Empresa: "¿Quieres recibir promoción semanal? Responde
SÍ o ignora este mensaje."
Cliente: "SÍ"
→ Guarda el mensaje completo del cliente + timestamp
como prueba de opt-in.
3. Opt-in presencial documentado
En tienda física, el cliente llena una ficha que incluye campo "autorizo recibir WhatsApp" con firma. La digitalizas y archivas.
Cómo almacenar la prueba (lista para auditoría)
Para cada contacto en la lista de marketing necesitas:
| Campo | Qué almacenar |
|---|---|
| identifier | teléfono E.164 (+5255...) |
| consent_text | texto exacto que el cliente aceptó |
| consent_at | timestamp ISO 8601 de la aceptación |
| consent_source | "website_checkout" / "whatsapp_keyword" / "form_presencial" |
| consent_ip | IP del cliente (si digital) |
| consent_proof_url | captura del form / mensaje del cliente / escaneo de la ficha |
| opt_out_at | si se dio de baja, cuándo |
Derechos del titular (GDPR art. 15-22 / Derechos ARCO bajo LFPDPPP)
El cliente puede pedir en cualquier momento:
- Confirmación de la existencia de tratamiento de datos.
- Acceso a los datos.
- Rectificación de datos incompletos/incorrectos.
- Cancelación / eliminación total.
- Portabilidad a otro proveedor (GDPR).
- Revocación del consentimiento.
- Oposición al tratamiento.
Plazo legal: GDPR — 1 mes (prorrogable a 3). LFPDPPP México — 20 días para responder + 15 días para hacer efectivos los derechos ARCO.
Flujo práctico para procesar la solicitud
- Canal de recepción: email dedicado (privacidad@tuempresa.com) o formulario en el aviso.
- Confirmar identidad del solicitante (evita eliminación maliciosa de número ajeno).
- Localizar todos los datos en los sistemas (base principal, backup, CRM, herramienta de mensajería).
- Ejecutar conforme al pedido (eliminación, exportación, corrección).
- Confirmar al cliente que se hizo.
- Registrar todo en un log auditable.
Aviso de privacidad — checklist mínimo
Tu página de privacidad debe explicar claramente:
- Quién es el responsable (razón social, dirección, email del DPO).
- Qué datos se recogen (nombre, teléfono, mensajes, IP).
- Para qué (atender, agendar, enviar promoción, etc.).
- Con quién se comparte (Meta, plataforma BSP como MercaBot, procesador de pagos).
- Por cuánto tiempo se guarda.
- Cómo ejercer derechos — canal y plazo.
- Base legal de cada tratamiento.
- Transferencias internacionales (especialmente relevante: WhatsApp/Meta transfiere a EE.UU.).
Los 5 errores que aparecen en fiscalización
- Comprar base de contactos. Lista de WhatsApp comprada = cero consentimiento = infracción clara.
- Opt-in genérico en los términos. "Acepto los términos y condiciones" no cubre WhatsApp marketing específicamente.
- Mantener al contacto sin opt-in justificando "es mi cliente". Ser cliente no autoriza el marketing — la ejecución de contrato cubre solo lo transaccional.
- Compartir la base con un socio sin cláusula. Intercambiar contactos con otra empresa sin consentimiento específico = infracción.
- Sin registro de cuándo se dio el opt-in. La autoridad pide prueba. "El cliente aceptó" sin timestamp ni prueba = peor que no tener nada.
Dónde ayudan Meta y WhatsApp (y dónde no)
La propia Meta exige opt-in para plantilla de marketing (forma parte de la quality rating). Eso te obliga a hacerlo bien. Pero:
- Meta verifica el opt-in cualitativamente (tasa de denuncia, bloqueo), no documentalmente.
- AEPD / INAI / autoridades verifican documentalmente (necesitan prueba auditable).
Los dos sistemas se complementan — estar bien con Meta suele significar estar OK con GDPR/LFPDPPP. Pero falta documentación en la mayoría de las operaciones PYME.
Checklist de conformidad — hazlo hoy
- ☐ Aviso de privacidad público en /privacidad/
- ☐ Formulario de registro con casilla específica de WhatsApp marketing
- ☐ Base con 7 campos de consentimiento por contacto (ver tabla arriba)
- ☐ Email / form para recibir solicitud de derechos
- ☐ Proceso interno para atender la solicitud en el plazo legal
- ☐ Plantilla de auditoría con ejemplo de prueba de opt-in
- ☐ Capacitación del equipo (no se manda promo sin chequear el status)
- ☐ DPO definido (puede ser un socio en PYME, pero debe ser nominal)
Consentimiento y eliminación automatizados
MercaBot guarda el registro de opt-in (texto + timestamp + origen) y procesa la solicitud de eliminación en 1 clic desde el panel. Cumplimiento técnico resuelto — te enfocas en el lado humano.
Probar gratis →