Playbook compliance

GDPR/LFPDPPP + WhatsApp: opt-in, consentimiento y auditoría (playbook)

La multa del GDPR llega al 4% de la facturación global (techo de € 20 millones). En México, la LFPDPPP puede sancionar con hasta ~21 millones de UMA. Pero el problema real para una PYME no es la multa — es el cliente reclamando al regulador (AEPD en España, INAI en México), la denuncia, el daño de imagen y el número de WhatsApp baneado. Este playbook es práctico: cómo recoger un opt-in válido, almacenar la prueba, procesar la solicitud de eliminación y estar listo si la autoridad toca a la puerta mañana.

15 de mayo de 2026 · 10 min de lectura · MercaBot
⚠️ Aviso: este contenido es informativo. No sustituye la consulta con un abogado especializado en protección de datos. Si tu operación procesa volúmenes relevantes de datos personales, contrata DPO o asesoría legal.

Lo que dicen GDPR y LFPDPPP, en una frase

Solo puedes tratar el dato personal de una persona (incluyendo su número de WhatsApp) si tienes base legal. Para el marketing por WhatsApp, la base típica bajo GDPR es el consentimiento (art. 6.1.a); bajo la LFPDPPP mexicana, también el consentimiento del titular (art. 8). Sin consentimiento, no puedes mandar promociones. Quien te escribió primero para una consulta entra en otra base (interés legítimo o ejecución de contrato).

2 escenarios, 2 reglas distintas

🟢 Escenario A: el cliente te escribe primero

El cliente te contacta por WhatsApp para preguntar por un producto, agendar o comprar. Puedes:

NO puedes: usar esos datos para marketing posterior sin un opt-in adicional explícito.

🟡 Escenario B: tú inicias la conversación

Quieres mandar promoción, recordatorio, novedad — cualquier broadcast activo. Necesitas:

Qué es un opt-in VÁLIDO

3 requisitos acumulativos (GDPR art. 4.11 + 7; LFPDPPP exige consentimiento informado, expreso y libre):

  1. Libre: sin coacción. No puede ser "acepta o no uses el servicio".
  2. Informado: el cliente sabe quién recoge, para qué, por cuánto tiempo.
  3. Inequívoco: acción afirmativa explícita. Casilla pre-marcada NO vale.

3 formas legítimas de recoger opt-in para WhatsApp

1. Formulario en sitio web/checkout

[ ] Quiero recibir promociones y novedades por WhatsApp
    de [Tu Empresa] al número (XX) XXXX-XXXX.
    Puedo cancelar en cualquier momento. Ver
    [Aviso de Privacidad].

Guarda en la base: nombre, teléfono, fecha/hora, IP, texto exacto de la declaración aceptada.

2. Opt-in por palabra clave en WhatsApp

El cliente que te escribió primero puede autorizar marketing así:

Empresa: "¿Quieres recibir promoción semanal? Responde
          SÍ o ignora este mensaje."

Cliente: "SÍ"

→ Guarda el mensaje completo del cliente + timestamp
  como prueba de opt-in.

3. Opt-in presencial documentado

En tienda física, el cliente llena una ficha que incluye campo "autorizo recibir WhatsApp" con firma. La digitalizas y archivas.

Cómo almacenar la prueba (lista para auditoría)

Para cada contacto en la lista de marketing necesitas:

CampoQué almacenar
identifierteléfono E.164 (+5255...)
consent_texttexto exacto que el cliente aceptó
consent_attimestamp ISO 8601 de la aceptación
consent_source"website_checkout" / "whatsapp_keyword" / "form_presencial"
consent_ipIP del cliente (si digital)
consent_proof_urlcaptura del form / mensaje del cliente / escaneo de la ficha
opt_out_atsi se dio de baja, cuándo

Derechos del titular (GDPR art. 15-22 / Derechos ARCO bajo LFPDPPP)

El cliente puede pedir en cualquier momento:

Plazo legal: GDPR — 1 mes (prorrogable a 3). LFPDPPP México — 20 días para responder + 15 días para hacer efectivos los derechos ARCO.

Flujo práctico para procesar la solicitud

  1. Canal de recepción: email dedicado (privacidad@tuempresa.com) o formulario en el aviso.
  2. Confirmar identidad del solicitante (evita eliminación maliciosa de número ajeno).
  3. Localizar todos los datos en los sistemas (base principal, backup, CRM, herramienta de mensajería).
  4. Ejecutar conforme al pedido (eliminación, exportación, corrección).
  5. Confirmar al cliente que se hizo.
  6. Registrar todo en un log auditable.

Aviso de privacidad — checklist mínimo

Tu página de privacidad debe explicar claramente:

Los 5 errores que aparecen en fiscalización

  1. Comprar base de contactos. Lista de WhatsApp comprada = cero consentimiento = infracción clara.
  2. Opt-in genérico en los términos. "Acepto los términos y condiciones" no cubre WhatsApp marketing específicamente.
  3. Mantener al contacto sin opt-in justificando "es mi cliente". Ser cliente no autoriza el marketing — la ejecución de contrato cubre solo lo transaccional.
  4. Compartir la base con un socio sin cláusula. Intercambiar contactos con otra empresa sin consentimiento específico = infracción.
  5. Sin registro de cuándo se dio el opt-in. La autoridad pide prueba. "El cliente aceptó" sin timestamp ni prueba = peor que no tener nada.

Dónde ayudan Meta y WhatsApp (y dónde no)

La propia Meta exige opt-in para plantilla de marketing (forma parte de la quality rating). Eso te obliga a hacerlo bien. Pero:

Los dos sistemas se complementan — estar bien con Meta suele significar estar OK con GDPR/LFPDPPP. Pero falta documentación en la mayoría de las operaciones PYME.

Checklist de conformidad — hazlo hoy

Consentimiento y eliminación automatizados

MercaBot guarda el registro de opt-in (texto + timestamp + origen) y procesa la solicitud de eliminación en 1 clic desde el panel. Cumplimiento técnico resuelto — te enfocas en el lado humano.

Probar gratis →