¿Usas tu WhatsApp personal para hablar con clientes? La AEPD ya está multando
Seguro que lo has hecho. Un cliente te pide presupuesto por WhatsApp, le respondes desde tu número personal, y a partir de ahí toda la comunicación va por ahí. Es rápido, es cómodo, lo hace todo el mundo.
Pues la Agencia Española de Protección de Datos ya ha empezado a multar por ello.
No es una amenaza teórica. Hay resoluciones públicas, con nombres y apellidos, y con sanciones que van desde los 2.000€ hasta los 42.000€. Todo por usar el WhatsApp de toda la vida para comunicaciones profesionales.
Vale, sí, el titular es un poco de clickbait. No es que usar WhatsApp personal sea ilegal de por sí. Lo que es ilegal es tratar datos de clientes sin base legal, sin medidas de seguridad, sin contrato de encargado del tratamiento. Y con el WhatsApp de toda la vida, eso es exactamente lo que estás haciendo.
¿Qué dice la ley exactamente?
No hay una ley que diga “prohibido usar WhatsApp personal con clientes”. Eso sería demasiado sencillo. Lo que hay son tres normativas que, juntas, hacen que esa práctica sea muy difícil de defender.
El RGPD (Reglamento General de Protección de Datos) exige en su artículo 6.1 que todo tratamiento de datos personales tenga una base legal. El mero hecho de tener el número de un cliente en tu WhatsApp ya es un tratamiento de sus datos. Y si no has documentado por qué lo tratas, qué base legal tienes y qué medidas de seguridad aplicas, estás incumpliendo. Sin excusas.
El artículo 28 del RGPD exige que cuando usas un servicio de terceros (WhatsApp, Meta) para tratar datos de clientes, exista un contrato de encargado del tratamiento (Data Processing Agreement o DPA). WhatsApp Messenger personal no ofrece este contrato. WhatsApp Business sí lo incluye en sus términos para empresas.
El artículo 32 del RGPD exige medidas de seguridad técnicas y organizativas. Un teléfono personal con los chats de clientes mezclados con los de tu familia, sin cifrado de dispositivo, sin copias de seguridad controladas, sin política de borrado, no cumple. No, ni aunque el móvil tenga patrón.
Y luego está la LSSI (Ley de Servicios de la Sociedad de la Información), cuyo artículo 21 exige consentimiento previo para enviar comunicaciones comerciales por medios electrónicos. Si le envías ofertas a un cliente sin que te lo haya autorizado explícitamente, también estás incumpliendo.
Multas reales que ya ha impuesto la AEPD
Esto no es teoría. La Agencia Española de Protección de Datos tiene resoluciones públicas que puedes consultar.
PS/00505/2023: una asesoría multada con 5.000€. La empresa enviaba documentos con datos personales de clientes al WhatsApp personal de un empleado. Sin base legal documentada. Sin medidas de seguridad. El trabajador había pedido en varias ocasiones que no usaran su número personal. La AEPD sancionó con 2.500€ por infracción del artículo 6.1 y otros 2.500€ por infracción del artículo 32. 5.000€ por lo que todo el mundo hace.
Abogada multada con 4.000€. Envió sentencias con información personal por WhatsApp con fines promocionales. La AEPD consideró que no había base legal y que no se habían adoptado medidas de seguridad suficientes para datos judiciales, que son especialmente protegidos.
LVMH Iberia: 42.000€ (reducidos de 70.000€). Incluyó a una trabajadora en un grupo de WhatsApp con su número personal sin su consentimiento y durante sus vacaciones. Sin dispositivo corporativo. Sin autorización. Y todo por “ponerla al día”.
Empresa de servicios: 3.000€. Añadió a un cliente a un grupo de WhatsApp con 150 personas sin su permiso. Todos los miembros del grupo vieron el número y la foto de perfil del cliente. Eso es una cesión de datos no consentida. Y encima, 150 personas.
Comunidad de propietarios: 2.000€. El presidente compartió en el grupo de WhatsApp de la comunidad una conversación privada y un recibo bancario de otro propietario sin su consentimiento.
El argumento que no te va a salvar
La AEPD lo llama “costumbre inveterada”, que es la forma elegante de decir “nos la suda que siempre lo hayas hecho así”. En muchas resoluciones, las empresas alegan que “siempre lo han hecho así”, que “nadie se había quejado”, que “era la práctica habitual”. La AEPD es tajante: ninguna práctica habitual exime del cumplimiento del RGPD. Basta con que se produzca un tratamiento de datos sin base legal para que exista una infracción sancionable, independientemente del daño real. Así que el “total, toda la vida” no te va a salvar.
¿Qué tienes que hacer?
Vale, no es ilegal usar WhatsApp con clientes. Lo que es ilegal es hacerlo sin las garantías que exige la ley. Esto es lo mínimo que necesitas:
1. Usa WhatsApp Business, no el WhatsApp personal. La versión Business incluye el Data Processing Agreement (DPA) que exige el artículo 28 del RGPD. Sin ese contrato con Meta, no tienes cómo demostrar que cumples.
2. Separa los canales. No mezcles conversaciones de clientes con las de tu familia. Si usas el mismo móvil, al menos ten WhatsApp Business instalado con un perfil separado. Lo ideal es un número distinto.
3. Informa a tus clientes. Cuando un cliente te escribe por primera vez, debes informarle de quién trata sus datos, con qué finalidad, durante cuánto tiempo y cómo puede ejercer sus derechos. WhatsApp Business permite configurar un mensaje de bienvenida automático para esto.
4. Publica una política de privacidad. Es obligación del artículo 13 del RGPD. Ahí debe constar que WhatsApp es un canal de comunicación de tu negocio, qué datos tratas y quién es el responsable.
5. No añadas a nadie a grupos sin su permiso. Cada vez que metes a un cliente en un grupo sin preguntarle, estás cediendo sus datos al resto de miembros. Eso es una infracción directa.
6. Puedes borrar los datos cuando te lo pidan. El artículo 17 del RGPD reconoce el derecho al borrado. Si un cliente te pide que elimines sus datos, tienes un mes para hacerlo. Con WhatsApp Business puedes gestionarlo mejor que con la versión personal.
Y ya que estás revisando temas de cumplimiento normativo, no descuides la facturación. Verifactu exige software certificado desde 2027, y las multas por no tenerlo llegan hasta 50.000€. Te cuento lo que necesitas saber.
La recomendación del INCIBE
El Instituto Nacional de Ciberseguridad, organismo público de referencia en España, ha publicado una guía oficial en la que establece que “las empresas o autónomos que decidan apostar por esta herramienta de mensajería instantánea deberán utilizar WhatsApp Business”. No es una obligación legal en sentido estricto, porque ninguna ley menciona WhatsApp Business por su nombre. Pero es la señal más clara de cuál es la posición oficial española.
Una nota importante
WhatsApp Business no es la solución mágica. Instalarlo no te hace cumplir automáticamente con el RGPD. Lo que hace es darte las herramientas para poder cumplir: el DPA, la separación de canales, los mensajes automáticos con información legal. El resto (documentar la base legal, informar a los clientes, gestionar los derechos de borrado) es responsabilidad tuya como negocio.
Fuentes
- Resolución AEPD PS/00505/2023: sanción de 5.000€ a asesoría por enviar datos de clientes a WhatsApp personal de empleado
- Guía INCIBE: recomendación explícita de usar WhatsApp Business para uso profesional
- Portal Ártico: WhatsApp en la empresa y RGPD: sanciones reales, obligaciones y cómo cumplir
- WhatsApp con clientes y RGPD: guía 2026 para autónomos
Compártelo si te ha resultado útil.
¿Tu negocio usa WhatsApp con clientes sin tener claro si cumple la normativa? Hablamos y revisamos cómo dejar los canales de comunicación en orden.
Y… mejor prevenir que pagar 5.000€.
Artículos relacionados
Horario de verano en Google Business Profile: que no te pille el toro
Llega el verano y los horarios de los negocios cambian. Te explico la diferencia entre poner un horario especial y modificar el horario habitual en Google Business Profile, cuándo usar cada opción y cómo no olvidarte de revertirlo en septiembre.
Claude Cowork: qué es y por qué regalo 3 invitaciones gratis
Claude Cowork es lo nuevo de Anthropic: la potencia de Claude Code, pero para trabajo de oficina y gente que no programa. Organiza archivos, saca datos de facturas, prepara informes y ejecuta tareas programadas en tu ordenador. Te cuento qué es, en qué se diferencia del chat y de Claude Code, y por qué regalo 3 invitaciones a quien las quiera.
Transparencia salarial: ¿la nueva ley choca con tu privacidad?
Esta semana medio internet ha entendido que tus compañeros van a poder ver lo que cobras. No es eso. La Directiva europea de transparencia retributiva llega en 2026 y cambia cosas importantes, pero el derecho que te dan es a conocer medias salariales por sexo, no la nómina de la persona de al lado. Te explico qué dice de verdad la ley, qué cambia para ti y, sobre todo, cómo encaja con el RGPD y tu derecho a la protección de datos. Porque ahí es donde está el conflicto interesante.