Usar WhatsApp para recuperar carritos abandonados en WooCommerce es legal en España y la UE — pero solo si lo haces correctamente. El GDPR y la LOPDGDD establecen requisitos específicos que muchas tiendas ignoran, exponiéndose a sanciones que van desde €10.000 hasta €20 millones.
Esta guía explica qué necesitas implementar, por qué, y cómo hacerlo sin necesitar un abogado.
Por qué el GDPR afecta al marketing por WhatsApp
El GDPR (Reglamento General de Protección de Datos) regula el tratamiento de datos personales de ciudadanos de la UE. Un número de teléfono es un dato personal. Enviarlo a WhatsApp para enviar mensajes de marketing requiere una base legal válida.
En España, además del GDPR, aplica la LOPDGDD (Ley Orgánica 3/2018) y la LSSICE (Ley 34/2002), que regula específicamente las comunicaciones comerciales electrónicas — incluyendo WhatsApp.
Las tres preguntas clave que debes responder:
- ¿Tienes una base legal válida para tratar el número de teléfono?
- ¿Has informado al usuario de que vas a enviarle mensajes de marketing por WhatsApp?
- ¿Puede el usuario revocar su consentimiento fácilmente?
Si no puedes responder "sí" a las tres, tu tienda tiene un problema de cumplimiento.
Base legal: qué puedes usar y qué no
El GDPR establece seis bases legales para tratar datos personales. Para marketing por WhatsApp, solo dos son relevantes en la práctica:
Consentimiento explícito (recomendado)
El usuario acepta activamente recibir mensajes de marketing por WhatsApp antes de que se los envíes. Es la base legal más sólida y la única que recomienda la AEPD para comunicaciones comerciales.
Requisitos del consentimiento válido bajo GDPR:
- Libre: no puede ser condición para completar la compra
- Específico: debe mencionar explícitamente WhatsApp como canal
- Informado: el usuario sabe qué tipo de mensajes recibirá
- Inequívoco: checkbox desmarcado por defecto — nunca pre-marcado
Interés legítimo (no recomendado para marketing)
Algunos intentan justificar el envío de mensajes de carrito abandonado bajo interés legítimo. La AEPD ha sido clara: el interés legítimo no es una base válida para comunicaciones comerciales directas sin consentimiento previo en España.
No uses interés legítimo para marketing por WhatsApp en tiendas que vendan a ciudadanos españoles o de la UE.
Cómo implementar el consentimiento correctamente en WooCommerce
El checkbox de consentimiento en checkout
Añade un checkbox en el formulario de checkout de WooCommerce con estas características:
Texto recomendado:
☐ Acepto recibir mensajes de WhatsApp de [nombre de tu tienda]
con recordatorios de mi carrito y ofertas personalizadas.
Puedo retirar mi consentimiento en cualquier momento respondiendo
"STOP" al número remitente.
Requisitos técnicos:
- El checkbox debe estar desmarcado por defecto
- Debe ser independiente de los términos y condiciones
- Debe registrar: fecha y hora del consentimiento, versión del texto mostrado, IP del usuario
- El número de teléfono no puede enviarse a WhatsApp sin que el checkbox esté marcado
Dónde colocarlo
Lo más habitual es justo antes del botón "Realizar pedido", claramente visible y diferenciado de otros consentimientos.
Lo que NO puedes hacer:
- Pre-marcar el checkbox
- Incluirlo dentro de los términos y condiciones generales
- Usar lenguaje ambiguo ("acepto comunicaciones" sin especificar WhatsApp)
- Hacer obligatorio para completar la compra
Información que debes incluir en tu Política de Privacidad
Tu política de privacidad debe incluir una sección específica para el tratamiento de datos para marketing por WhatsApp:
COMUNICACIONES COMERCIALES POR WHATSAPP
Responsable del tratamiento: [nombre empresa], [CIF], [dirección]
Finalidad: envío de recordatorios de carrito abandonado y
comunicaciones comerciales via WhatsApp
Base legal: consentimiento explícito del usuario (Art. 6.1.a GDPR)
Datos tratados: número de teléfono
Destinatarios: Meta Platforms Ireland Ltd. (proveedor WhatsApp)
Transferencias internacionales: Meta puede procesar datos fuera
de la UE bajo Cláusulas Contractuales Tipo aprobadas por la
Comisión Europea
Plazo de conservación: hasta retirada del consentimiento
Derechos: acceso, rectificación, supresión, portabilidad,
oposición — contacto: [tu email de privacidad]
Transferencias internacionales de datos: el caso Meta
Cuando envías un número de teléfono a WhatsApp Cloud API, estás transfiriendo datos personales a Meta Platforms Ireland Ltd. y potencialmente a servidores en EE.UU.
Desde julio 2023, el EU-US Data Privacy Framework cubre estas transferencias para empresas certificadas. Meta está certificada bajo este framework, lo que hace la transferencia legal.
Lo que debes incluir en tu política de privacidad: mencionar a Meta como destinatario y el marco legal que cubre la transferencia (EU-US Data Privacy Framework).
Derechos del usuario: cómo gestionarlos
El GDPR otorga al usuario varios derechos sobre sus datos. Para marketing por WhatsApp:
| Derecho | Cómo implementarlo |
|---|---|
| Retirada del consentimiento | Responder "STOP" al mensaje de WhatsApp + opción en cuenta de usuario |
| Acceso | Email a tu dirección de privacidad |
| Supresión | Eliminar el número de la base de datos de CartPinger |
| Portabilidad | Exportar los datos del usuario bajo petición |
Plazo de respuesta: 30 días naturales para cualquier solicitud de derechos.
El mecanismo de opt-out en WhatsApp
Es obligatorio incluir un mecanismo de opt-out claro en cada mensaje de marketing:
Responde STOP para no recibir más mensajes.
Cuando un usuario responde STOP, debes:
- Registrar la baja inmediatamente
- No enviarle más mensajes de marketing
- Conservar el registro de la baja (para demostrar cumplimiento si hay una reclamación)
Retención de datos: cuánto tiempo puedes conservar los números
- Mientras el consentimiento esté activo: puedes conservar y usar el número
- Tras retirada del consentimiento: debes eliminar el número de tu base de datos de marketing
- Tras inactividad prolongada: la AEPD recomienda revisar consentimientos con más de 2 años de antigüedad
Práctica recomendada: implementa una limpieza automática de consentimientos inactivos cada 24 meses.
Sanciones reales de la AEPD por WhatsApp sin consentimiento
La AEPD ha sancionado casos de marketing por WhatsApp sin consentimiento. Algunos ejemplos reales:
- €10.000 — envío de mensajes comerciales por WhatsApp sin consentimiento previo (empresa de servicios, 2023)
- €5.000 — uso del número de teléfono de clientes para marketing sin base legal válida (comercio online, 2022)
- €30.000 — envío masivo de mensajes comerciales sin consentimiento y sin mecanismo de opt-out (empresa marketing, 2024)
Las sanciones para PYMEs oscilan entre €5.000 y €50.000 en la práctica. Las sanciones máximas (€20M o 4% facturación global) son para grandes empresas con infracciones sistemáticas.
Checklist de cumplimiento GDPR para WhatsApp en WooCommerce
Antes de activar la recuperación de carritos por WhatsApp, verifica:
Consentimiento:
- ☐ Checkbox desmarcado por defecto en checkout
- ☐ Texto específico menciona WhatsApp como canal
- ☐ Checkbox independiente de términos y condiciones
- ☐ Registro de consentimiento con fecha, hora e IP
Política de privacidad:
- ☐ Sección específica para marketing WhatsApp
- ☐ Meta mencionada como destinatario
- ☐ EU-US Data Privacy Framework mencionado
- ☐ Derechos del usuario explicados con contacto
Operativa:
- ☐ Mecanismo STOP en cada mensaje
- ☐ Proceso de gestión de solicitudes de derechos (<30 días)
- ☐ Proceso de eliminación de datos tras opt-out
- ☐ Revisión de consentimientos cada 24 meses
CartPinger y el cumplimiento GDPR
CartPinger implementa el cumplimiento GDPR como parte del núcleo del plugin, no como un añadido:
- Checkbox de consentimiento nativo en el checkout de WooCommerce — desmarcado por defecto
- Registro de consentimientos con timestamp e IP
- Gestión de opt-out automática — respuesta STOP cancela futuros mensajes
- Sin envío de datos sin consentimiento — el plugin verifica el consentimiento antes de cada mensaje
→ Descargar CartPinger gratis en WordPress.org
→ Cómo recuperar carritos abandonados en WooCommerce
→ WhatsApp Cloud API para WooCommerce: Guía de Meta Verification
Este artículo es orientativo y no constituye asesoramiento legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos.
