Aviso legal

RGPD y mensajes de marketing: lo que necesitas saber en 2026

2 Abr, 2026Ricardo Costa10 min de lectura

Mantener a tu empresa en conformidad no tiene por qué ser una pesadilla. Guía práctica sobre privacidad en la comunicación móvil — sin tecnicismos jurídicos.

Por qué el RGPD es importante para quienes usan WhatsApp y SMS en su negocio

El Reglamento General de Protección de Datos (RGPD) se aplica a cualquier empresa que procese datos personales de residentes en la Unión Europea — independientemente del tamaño de la empresa o del país donde tenga su sede.

Enviar un mensaje de WhatsApp o SMS a un cliente es procesar datos personales. El número de teléfono móvil es un dato personal. El contenido del mensaje puede contener más datos personales. El historial de conversaciones es un conjunto de datos personales.

En los últimos años, las agencias de protección de datos han aumentado significativamente el número de expedientes sancionadores a pymes. Las multas pueden llegar al 4% de la facturación anual global o a 20 millones de euros — lo que sea mayor.

Los tres principios que importan para mensajes de marketing

1. Base legal para el tratamiento

Para enviar mensajes de marketing, tu empresa necesita una base legal. Las dos más comunes para la comunicación directa son:

Consentimiento (Art. 6.1.a): El cliente ha dado su autorización explícita para recibir comunicaciones de marketing. Este consentimiento debe ser libre, específico, informado e inequívoco (una casilla de verificación marcada por el usuario, no premarcada).

Interés legítimo (Art. 6.1.f): Puede invocarse para comunicaciones con clientes existentes, sobre productos o servicios similares a los que ya adquirieron, siempre que exista una opción de exclusión (opt-out) sencilla. Esta base es más restringida y debe evaluarse caso por caso.

2. Derecho de exclusión (Opt-out)

Cualquier persona que reciba comunicaciones de marketing tiene derecho a oponerse en cualquier momento. Tus mensajes deben incluir un mecanismo de exclusión claro y funcional.

Para WhatsApp: incluye "Responde STOP para dejar de recibir mensajes" y atiende esa solicitud de inmediato.

Para SMS: lo mismo. Y registra todas las solicitudes de exclusión — las autoridades pueden solicitar este registro.

3. Limitación de la finalidad y minimización de datos

No recopiles datos que no necesites. Si recopilas el número de móvil para enviar confirmaciones de pedidos, no puedes usar ese número para campañas de marketing sin un nuevo consentimiento para esa finalidad específica.

Qué registrar y conservar

Las autoridades de protección de datos pueden solicitar pruebas de cumplimiento. Mantén registro de:

Cuándo y cómo se obtuvo el consentimiento (fecha, fuente, formulario o casilla de verificación utilizada).
Qué autorizó exactamente el usuario.
Exclusiones recibidas y fecha de procesamiento.
Retención de datos: cuánto tiempo conservas los números y las conversaciones.

Contratos de encargo de tratamiento (DPA)

Si utilizas una plataforma de mensajería como WhatSMS, estás entregando datos personales de tus clientes a un encargado del tratamiento. El RGPD exige que exista un contrato de encargo de tratamiento (DPA) entre tu empresa y el proveedor.

WhatSMS ofrece un DPA para todos sus clientes, con la confirmación de que los datos se procesan exclusivamente en la Unión Europea (servidores de Hetzner en Alemania y Austria).

Mensajes transaccionales frente a mensajes de marketing

Esta distinción es crucial. Las normas del RGPD para el marketing son mucho más estrictas que para las comunicaciones transaccionales.

Mensajes transaccionales (no requieren consentimiento de marketing): confirmaciones de pedidos, alertas de entrega, recordatorios de citas, notificaciones de cuenta, respuestas a solicitudes iniciadas por el cliente.

Mensajes de marketing (requieren una base legal específica): promociones y descuentos, lanzamiento de nuevos productos, boletines informativos a través de WhatsApp o SMS, venta adicional (upsell) o cruzada (cross-sell) proactiva.

Si envías un mensaje de confirmación de pedido e incluyes un cupón de descuento al final, el mensaje se convierte parcialmente en un mensaje de marketing. Sé conservador en esta frontera.

Lista de verificación práctica

Antes de lanzar tu próxima campaña, verifica:

¿Tienes base legal documentada para cada segmento de destinatarios?
¿Los mensajes incluyen una opción de exclusión clara y funcional?
¿Tienes constancia de cuándo y cómo se obtuvo el consentimiento?
¿Existe un DPA firmado con el proveedor de la plataforma de mensajería?
¿Los datos de los clientes se conservan solo durante el tiempo necesario?
¿Conoce el equipo el procedimiento para responder a las solicitudes de acceso, rectificación o supresión de datos?

El cumplimiento del RGPD no es un proyecto de una sola vez, sino una práctica continua. Pero con los procesos correctos implementados, el esfuerzo de mantenimiento es mínimo.

¿Listo para probar WhatSMS?

14 días gratis, sin tarjeta de crédito.

Empezar gratis

Aviso legal

RGPD y mensajes de marketing: lo que necesitas saber en 2026

2 Abr, 2026Ricardo Costa10 min de lectura

Mantener a tu empresa en conformidad no tiene por qué ser una pesadilla. Guía práctica sobre privacidad en la comunicación móvil — sin tecnicismos jurídicos.

Por qué el RGPD es importante para quienes usan WhatsApp y SMS en su negocio

Los tres principios que importan para mensajes de marketing

1. Base legal para el tratamiento

Para enviar mensajes de marketing, tu empresa necesita una base legal. Las dos más comunes para la comunicación directa son:

2. Derecho de exclusión (Opt-out)

Cualquier persona que reciba comunicaciones de marketing tiene derecho a oponerse en cualquier momento. Tus mensajes deben incluir un mecanismo de exclusión claro y funcional.

Para WhatsApp: incluye "Responde STOP para dejar de recibir mensajes" y atiende esa solicitud de inmediato.

Para SMS: lo mismo. Y registra todas las solicitudes de exclusión — las autoridades pueden solicitar este registro.

3. Limitación de la finalidad y minimización de datos

Qué registrar y conservar

Las autoridades de protección de datos pueden solicitar pruebas de cumplimiento. Mantén registro de:

Cuándo y cómo se obtuvo el consentimiento (fecha, fuente, formulario o casilla de verificación utilizada).
Qué autorizó exactamente el usuario.
Exclusiones recibidas y fecha de procesamiento.
Retención de datos: cuánto tiempo conservas los números y las conversaciones.

Contratos de encargo de tratamiento (DPA)

WhatSMS ofrece un DPA para todos sus clientes, con la confirmación de que los datos se procesan exclusivamente en la Unión Europea (servidores de Hetzner en Alemania y Austria).

Mensajes transaccionales frente a mensajes de marketing

Esta distinción es crucial. Las normas del RGPD para el marketing son mucho más estrictas que para las comunicaciones transaccionales.

Si envías un mensaje de confirmación de pedido e incluyes un cupón de descuento al final, el mensaje se convierte parcialmente en un mensaje de marketing. Sé conservador en esta frontera.

Lista de verificación práctica

Antes de lanzar tu próxima campaña, verifica:

¿Tienes base legal documentada para cada segmento de destinatarios?
¿Los mensajes incluyen una opción de exclusión clara y funcional?
¿Tienes constancia de cuándo y cómo se obtuvo el consentimiento?
¿Existe un DPA firmado con el proveedor de la plataforma de mensajería?
¿Los datos de los clientes se conservan solo durante el tiempo necesario?
¿Conoce el equipo el procedimiento para responder a las solicitudes de acceso, rectificación o supresión de datos?

El cumplimiento del RGPD no es un proyecto de una sola vez, sino una práctica continua. Pero con los procesos correctos implementados, el esfuerzo de mantenimiento es mínimo.

¿Listo para probar WhatSMS?

14 días gratis, sin tarjeta de crédito.

Empezar gratis