WhatsApp forma parte del día a día de millones de personas. Y cada vez más empresas consideran este canal para atender consultas, enviar avisos o cerrar ventas. La pregunta es inevitable: ¿pueden escribir por WhatsApp sin haber pedido antes permiso expreso? La respuesta, con carácter general, es no. Que una empresa tenga tu número de móvil no la autoriza a contactar contigo por WhatsApp. Son canales distintos y, por tanto, requieren consentimientos diferenciados.

Este artículo repasa, en lenguaje claro y con ejemplos reales, qué se puede hacer, qué no, y cómo cumplir la normativa (RGPD y LOPDGDD) sin perder eficacia comercial.

1) Número de móvil ≠ usuario de WhatsApp: el malentendido que lo complica todo

La confusión arranca de un hecho técnico: WhatsApp vincula la cuenta a un número de teléfono. De ahí, muchas compañías deducen —erróneamente— que si tienen el número, pueden escribir por WhatsApp. No es así.

• El número de móvil es un dato de contacto.
• WhatsApp es una plataforma privada con su propia política de uso.

A efectos de protección de datos, son canales distintos. El consentimiento que el usuario dio para recibir, por ejemplo, una llamada o un SMS no ampara enviarle mensajes por WhatsApp. Si no existe una base jurídica específica (consentimiento, contrato, obligación legal u otra legitimación del art. 6.1 RGPD), el contacto no es lícito.

Conclusión: si una empresa quiere usar WhatsApp como canal de contacto, debe solicitar y registrar el consentimiento específico para ese canal. No vale un “tenemos su móvil”.

2) ¿Se puede pedir el número de WhatsApp para informar sobre un servicio?

Depende de la finalidad y del principio de minimización del RGPD: solo pueden pedirse los datos estrictamente necesarios.

• No es legítimo exigir el número de WhatsApp por defecto para solicitar información general.
• Sí puede justificarse si el servicio se presta principalmente por WhatsApp (p. ej., soporte que se ofrece exclusivamente en ese canal). Aun así, hay que informar con claridad y recabar consentimiento expreso.
• No es válido el “por si acaso”: pedir el dato sin usarlo, o usarlo sin autorización como canal adicional.

3) WhatsApp Business: canal corporativo, no personal

WhatsApp Business permite a las empresas tener un perfil verificado, respuestas automatizadas e integraciones con CRM. Pero hay reglas básicas para cumplir la ley y proteger datos:

• La cuenta corporativa debe gestionarse con un único número de empresa y un panel centralizado.
• Las personas empleadas no deben usar su WhatsApp personal para tratar con clientes: no puede garantizarse la seguridad ni el encargo de tratamiento.
• Se admiten perfiles con roles dentro de la cuenta corporativa (accesos con privilegios), de forma trazable y segura.

Este enfoque reduce riesgos de fuga de información, errores en la gestión de consentimientos y accesos indebidos.

4) Escribir por WhatsApp sin permiso: tratamiento no autorizado

Contactar por WhatsApp sin consentimiento específico equivale a un tratamiento ilícito de datos. No importa si el mensaje es comercial o “solo informativo”: sin base jurídica, no.

Este criterio se extiende a otros canales: dar un correo no autoriza a la empresa a enviarte un mensaje directo por redes sociales, ni a escribirte en apps de terceros. Tu presencia en esas plataformas es privada, y su uso como canal corporativo requiere autorización.

5) Novedad en camino: nombre de usuario sin número (más privacidad)

WhatsApp prepara —aún en fase beta— una opción para crear un nombre de usuario único, de modo que no sea necesario compartir el número para chatear. La idea es romper la equivalencia entre número y cuenta, y reforzar la privacidad. Cuando se generalice, será posible contactar con alguien solo con su username.

Este cambio subraya el principio de fondo: contar con el móvil no basta. Cada canal (llamada, SMS, WhatsApp, email) exige su consentimiento.

Recordatorio: dar consentimiento para un canal no implica darlo para todos.

6) Resoluciones reales: multas por usar WhatsApp sin permiso

La AEPD ha sancionado a distintas organizaciones por contactar por WhatsApp sin consentimiento. Tres casos ilustrativos:

• PS/00192/2024 — 70.000 € por contactar a una trabajadora por WhatsApp usando su número personal, sin permiso.
• PS/00298/2023 — 3.000 € por incluir a más de 150 personas en un grupo de WhatsApp sin autorización previa.
• PS/00472/2022 — 1.500 € por escribir a empleados por WhatsApp sin consentimiento.

Estas prácticas vulneran el art. 6.1 RGPD: sin base jurídica (consentimiento, contrato, obligación legal o interés legítimo ponderado), no hay licitud.

7) Lo que no pueden hacer las empresas

⛔ Prohibido:

• Usar WhatsApp sin permiso para contactar con clientes, potenciales clientes, alumnos, empleados o terceros.
• Solicitar “Móvil y WhatsApp” en formularios sin permitir elegir canal ni rechazar uno de ellos.
• Pedir el móvil y luego utilizarlo para escribir por WhatsApp sin consentimiento.

La excusa habitual —“los jóvenes ahora solo usan WhatsApp”— no exime de cumplir: si ese es el canal, hay que pedir permiso.

8) ¿Y si ya te han escrito sin permiso?

Para usuarios:

• Puedes reclamar ante la AEPD si te han contactado por WhatsApp sin tu consentimiento.
• Conserva capturas, fechas y contexto del mensaje no autorizado.

Para empresas:

• Revisa tus formularios: separa móvil y WhatsApp con consentimientos independientes y claros (casillas no premarcadas).
• Implementa un registro de consentimientos por canal, con prueba (fecha, origen, finalidad, base jurídica).
• Añade mecanismos fáciles para retirar el consentimiento y dejar constancia.
• Capacita a tu equipo: nada de usar WhatsApp personal y siempre a través de WhatsApp Business con perfiles y trazabilidad.

Cumplir no es solo evitar sanciones: es proteger la privacidad, reducir riesgos y reforzar la confianza. Es, en definitiva, seguridad para el negocio.

9) Buenas prácticas para usar WhatsApp de forma legal (y efectiva)

1. Consentimiento granular por canal
   • Casillas separadas: Llamada / SMS / WhatsApp / Email.
   • Informar la finalidad (p. ej., soporte, marketing, avisos de servicio) y la base jurídica.
   • Nada de casillas premarcadas o “por defecto”.
2. Doble capa informativa
   • Capa breve en el formulario (quién, para qué, cómo revocar).
   • Política de privacidad completa con derechos ARSULIPO y contacto del DPO/privacidad.
3. WhatsApp Business con control central
   • Un número corporativo, acceso por roles, auditoría de conversaciones y retención definida.
   • Integración con CRM para trazar consentimiento, estado y canal preferido.
4. Contenido ajustado al permiso
   • Si el usuario acepta avisos de servicio por WhatsApp, no envíes promociones (salvo consentimiento expreso para ello).
   • Incluir identificación de la empresa y método de baja (“responda BAJA para dejar de recibir mensajes”).
5. Seguridad y confidencialidad
   • Evitar datos sensibles por chat; en su caso, redirigir a un canal seguro verificado.
   • Cifrado de dispositivos, MFA y políticas BYOD (si aplica) para quienes tengan acceso.
6. Registros y retención
   • Define cuánto tiempo conservas las conversaciones y con qué finalidad.
   • Establece un procedimiento para atender derechos de acceso, rectificación o supresión relativos al canal.

10) Ejemplos prácticos (sí y no)

• Sí: “Marcando esta casilla autorizas a Empresa X a contactarte por WhatsApp para soporte de tu pedido. Podrás revocar tu consentimiento en cualquier momento respondiendo BAJA o en [email protected].”
• Sí: permitir elegir canales (WhatsApp o Email o SMS) y respetar la elección.
• No: escribir por WhatsApp “porque dieron su móvil en el formulario”.
• No: crear un grupo de WhatsApp con clientes sin autorización (revelas números a terceros).

11) ¿Qué cambios trae el “username” de WhatsApp?

Cuando WhatsApp generalice los nombres de usuario sin exponer el móvil, el consentimiento por canal será si cabe más evidente: el número deja de ser la llave de acceso y cada usuario elegirá cómo quiere ser contactado. Una buena noticia para la privacidad… y un recordatorio para las empresas de que la regla de oro no cambia: pedir permiso específico.

Conclusión

• WhatsApp no es “otro SMS”: es un canal con consentimiento propio.
• Tener el móvil no habilita a escribir por WhatsApp.
• Existen resoluciones y sanciones por usarlo sin permiso (70.000 €, 3.000 €, 1.500 € en casos recientes).
• Para empresas, el camino es claro: WhatsApp Business centralizado, consentimientos granulares, registro y trazabilidad, contenidos acorde a la finalidad y vías sencillas de baja.
• Para usuarios, conservar pruebas y reclamar si se vulneran sus derechos.

¿Te han contactado por WhatsApp sin tu consentimiento? La normativa te ampara. Y si eres empresa, cumplir es más sencillo de lo que parece: pide permiso y respeta la elección del canal.

Preguntas frecuentes (FAQ)

¿Puedo denunciar que me escriban por WhatsApp sin permiso?
Sí. Puedes reclamar ante la AEPD. Guarda capturas, fechas y el contexto de los mensajes no autorizados. Si la empresa ofrece baja, úsala; si persiste, reclama.

¿Es legal pedir el número de WhatsApp en un formulario?
Solo si es necesario para la finalidad y se informa con claridad, con consentimiento específico. No puede exigirse “por si acaso” ni condicionar información general a entregar ese dato.

¿Basta con tener el móvil del cliente para enviarle WhatsApp?
No. Número y WhatsApp son canales distintos. El móvil no legitima usar WhatsApp sin consentimiento expreso para ese canal.

¿Puedo usar mi WhatsApp personal para hablar con clientes?
No es recomendable ni conforme a la normativa. Debe usarse WhatsApp Business con control corporativo, acceso por roles y trazabilidad, garantizando la protección de datos y el encargo de tratamiento.