Chatbot de WhatsApp para empresas: qué es legal y qué no en España (2026)

WhatsApp es, con diferencia, el canal donde están tus clientes. Lo abren decenas de veces al día, responden en minutos y lo prefieren al teléfono o al email para casi todo. Por eso cada vez más empresas se plantean lo mismo: poner un chatbot que atienda por WhatsApp, responda dudas y capte clientes a cualquier hora.

Es una idea excelente. Pero antes de lanzarte conviene entender una cosa que muchas empresas pasan por alto hasta que reciben una reclamación: usar WhatsApp para comunicarte con clientes significa tratar datos personales, y eso está regulado. La buena noticia es que cumplir con la normativa no tiene ningún misterio si sabes dónde están los límites. La mala es que cruzarlos sin darte cuenta es más fácil de lo que parece.

En esta guía te explicamos, en lenguaje claro y sin tecnicismos, qué puede y qué no puede hacer un chatbot de WhatsApp en tu empresa. Te avisamos de entrada: esto es una guía práctica para que sepas por dónde van los tiros, no asesoramiento jurídico. Para tu caso concreto, consulta siempre con un profesional de protección de datos.

La pregunta que lo resuelve casi todo: ¿quién empieza la conversación?

Si te quedas con una sola idea de este artículo, que sea esta. La mayor parte de la confusión legal alrededor de WhatsApp se aclara respondiendo a una pregunta muy simple: ¿quién inicia el contacto, el cliente o tú?

Cuando el cliente te escribe primero (inbound). Alguien entra en tu web, ve tu número o pulsa un botón de "Escríbenos por WhatsApp" y te manda un mensaje. A partir de ese momento, responderle —tú o tu chatbot— es perfectamente legal y no necesitas pedirle un consentimiento aparte para contestar. El cliente ha iniciado la conversación porque quiere algo de ti, y atender esa petición es la base lógica de la relación. Este es el terreno seguro, y es justo donde un chatbot rinde de maravilla: contesta al instante, a cualquier hora, sin que nadie de tu equipo tenga que estar pendiente.

Cuando eres tú quien escribe primero (outbound). Aquí cambia todo. Si es tu empresa la que toma la iniciativa de enviar un mensaje —una promoción, una campaña, una oferta, un recordatorio comercial— a alguien que no te ha escrito, entras en el terreno de las comunicaciones comerciales. Y para eso, por norma general, necesitas el consentimiento previo de la persona. No basta con tener su número de teléfono "porque te lo dejó en un formulario" o "porque es cliente desde hace años". Tener el número y tener permiso para mandarle publicidad por WhatsApp son dos cosas distintas.

La regla práctica que puedes llevarte grabada: un chatbot que responde a quien le escribe es terreno seguro. Un sistema que envía mensajes comerciales masivos a una lista es terreno que hay que pisar con mucho cuidado —y casi siempre con consentimiento expreso de cada destinatario.

Qué necesitas tener en orden antes de encender el chatbot

Suponiendo que vas a hacer lo más habitual y sensato —un chatbot que atiende a quien te escribe— hay una serie de cosas básicas que conviene tener resueltas. Ninguna es complicada, pero saltárselas es lo que mete a las empresas en problemas.

Usa WhatsApp Business o la API de WhatsApp Business, nunca WhatsApp personal. La versión personal de la app no está pensada para tratar datos de clientes de forma profesional y no te da las garantías que necesitas. Para comunicarte con clientes, la herramienta correcta es WhatsApp Business o su API, que es además lo que cualquier chatbot serio utiliza por debajo.

Menciona WhatsApp en tu política de privacidad. Este es uno de los fallos más comunes y de los más fáciles de corregir. Tu política de privacidad debe decir explícitamente que usas WhatsApp como canal de comunicación y, si procede, que hay un chatbot tratando esas conversaciones. La inmensa mayoría de políticas de privacidad en España ni mencionan WhatsApp, y eso es precisamente lo que una reclamación pondría sobre la mesa.

Ten clara tu base legal. El RGPD exige que todo tratamiento de datos tenga una base que lo justifique. Para responder a quien te escribe, normalmente sirve el interés legítimo o la ejecución de un contrato. Para enviar comunicaciones comerciales por iniciativa propia, la base suele ser el consentimiento. Saber en cuál te apoyas no es burocracia: es lo que te protege si alguien pregunta.

Si usas un proveedor externo de chatbot, fírmale el contrato de encargado de tratamiento (DPA). Cuando una empresa de fuera gestiona tu chatbot, esa empresa accede a los datos de tus clientes, y por tanto es lo que el RGPD llama un "encargado del tratamiento". La ley exige que tengas con ese proveedor un contrato de encargo de tratamiento por escrito. Es un documento estándar que cualquier proveedor serio te facilita sin problema; si un proveedor no sabe de qué le hablas cuando le pides el DPA, desconfía.

Informa en el primer contacto. El RGPD pide que, cuando recoges datos de alguien, le informes de quién los trata y para qué. En la práctica, esto se resuelve con un primer mensaje del chatbot que enlace a tu política de privacidad o que lo indique de forma breve. Es un detalle pequeño que demuestra que haces las cosas bien.

Lo que NO puedes hacer (los errores que cuestan caros)

Tan importante como saber qué hacer es tener claro qué evitar. Estos son los errores que con más frecuencia acaban en una reclamación ante la Agencia Española de Protección de Datos (AEPD), que lleva años resolviendo casos relacionados con el uso de WhatsApp por parte de empresas.

Enviar campañas comerciales masivas sin consentimiento. Es el error estrella, sobre todo en sectores como el inmobiliario, donde es tentador coger una lista de contactos y mandarles ofertas por WhatsApp. Si esas personas no han dado un consentimiento expreso para recibir comunicaciones comerciales tuyas por ese canal, el envío es ilícito. Da igual que sean "leads que captaste tú": captar un contacto no equivale a tener permiso para hacerle marketing por WhatsApp.

Dar por supuesto el consentimiento. "Me dejó el teléfono, luego puedo escribirle." No. El consentimiento, cuando hace falta, tiene que ser expreso, informado y demostrable. Si no puedes probar que la persona aceptó recibir tus mensajes comerciales, a efectos prácticos no lo tienes.

Usar el WhatsApp personal de un empleado para hablar con clientes. Además de poco profesional, mezcla datos de clientes con el dispositivo privado de un trabajador, lo que genera problemas de seguridad y de responsabilidad. La AEPD ha sancionado situaciones de este tipo.

Tratar datos sensibles por un canal no preparado. Datos de salud, ideología, situación económica delicada… son categorías que el RGPD protege de forma reforzada. Un chatbot estándar de atención al cliente no es el lugar para gestionarlos.

Sectores con reglas especiales

No todos los negocios juegan con las mismas cartas. Hay sectores donde, además de lo anterior, se aplican normas reforzadas que conviene conocer antes de montar nada.

Sanitario (clínicas, consultas, centros médicos, estética con tratamientos médicos). Los datos de salud son una categoría especial dentro del RGPD, con un nivel de protección mucho mayor. Un chatbot de atención al cliente convencional no debe gestionar diagnósticos, historiales ni información clínica. En Proxera, de hecho, hemos decidido no ofrecer Xera Chat para el sector médico y sanitario precisamente por esta razón: el riesgo y las exigencias regulatorias hacen que no sea terreno para un producto de atención generalista.

Educación con menores. Si tu negocio atiende a menores de edad —academias, centros de formación, actividades infantiles— el consentimiento para tratar sus datos corresponde a los padres o tutores, no al propio menor. Eso condiciona cómo puede funcionar el chatbot.

Financiero y seguros. Aseguradoras, asesorías financieras o inmobiliarias que ofrecen financiación están sujetas a normativa sectorial adicional sobre comunicaciones con clientes y conservación de registros. No invalida el uso de un chatbot, pero añade requisitos.

Cómo un chatbot bien montado cumple el RGPD por diseño

Después de todo lo anterior, podrías pensar que poner un chatbot de WhatsApp es un campo de minas. No lo es. La clave está en que el chatbot se configure desde el principio para respetar estas reglas, en lugar de tener que ir parcheando después. Un chatbot bien planteado cumple la normativa casi sin que tengas que pensar en ello, porque está diseñado así:

Atiende solo a quien escribe primero, que es el uso legalmente más seguro. Pide el consentimiento dentro de la propia conversación cuando realmente hace falta —por ejemplo, si más adelante quieres poder mandarle comunicaciones—. Informa del tratamiento de datos en el primer mensaje, enlazando a tu política de privacidad. Y, si lo gestiona un proveedor como Proxera, ese proveedor te firma el contrato de encargado de tratamiento, de modo que la cadena de responsabilidad queda cubierta.

Dicho de otro modo: el cumplimiento no debería ser algo que añades al final, sino una característica del propio sistema. Un buen chatbot no te obliga a elegir entre atender bien y cumplir la ley; hace las dos cosas a la vez.

En resumen

Poner un chatbot de WhatsApp en tu empresa es perfectamente legal y, bien hecho, uno de los movimientos más rentables que puedes hacer en atención al cliente. Solo tienes que respetar lo esencial: atiende a quien te escribe, usa WhatsApp Business, informa del tratamiento de datos, no hagas envíos comerciales masivos sin consentimiento, y si trabajas con un proveedor, asegúrate de tener firmado el DPA. Con esos puntos cubiertos, ganas disponibilidad 24/7 y respuestas instantáneas sin asumir riesgos innecesarios.

La parte legal no debería frenarte. Debería, simplemente, hacerte elegir bien cómo y con quién montas tu chatbot.

¿Quieres un chatbot de WhatsApp que cumpla desde el primer día?

Xera Chat es el asistente de IA de Proxera que atiende a tus clientes por WhatsApp y por tu web, configurado para hacerlo de forma segura y conforme a la normativa. Atiende a quien te escribe, capta leads e incluso reserva citas, sin que tengas que preocuparte por la parte técnica ni por la legal. Descubre Xera Chat →