WhatsApp Business para despachos de abogados: cumplimiento LOPD 2026
La AEPD sancionó con 4.000 euros a una abogada por enviar una sentencia sin anonimizar por WhatsApp (resolución PS/00311/2022). No fue mala intención, fue mala arquitectura. Esta guía explica cómo se usa WhatsApp Business API en un despacho sin salir del secreto profesional del Art. 542.3 LOPJ.
WhatsApp entre abogado y cliente es lícito si se opera sobre WhatsApp Business API (Cloud) con BSP europeo, contrato Art. 28 RGPD firmado con el proveedor, base jurídica Art. 6.1.b RGPD para clientes con hoja de encargo, plantillas alineadas con Art. 21.2 LSSI soft opt-in, log auditable de consentimientos y bloqueo Art. 32 LOPDGDD por asunto. WhatsApp personal con datos de expediente es infracción documentada (AEPD PS/00311/2022, 4.000 euros).
Este post está dirigido a titulares de despacho, socios y responsables de compliance interno. La finalidad es técnico-jurídica, no comercial: explicar el marco aplicable, el precedente sancionador, los errores documentados y la arquitectura de cumplimiento razonable para usar WhatsApp con clientes sin exponer al despacho a Art. 83 RGPD ni a la responsabilidad disciplinaria colegial derivada del Art. 21 EGAE.
El caso que abre el debate en despachos españoles es la resolución de la Agencia Española de Protección de Datos PS/00311/2022. Una abogada envió por WhatsApp a un cliente una sentencia dictada en otro procedimiento sin anonimizar los datos personales de las partes ajenas. La AEPD calificó la conducta como infracción del Art. 5.1.f RGPD (principio de integridad y confidencialidad) y del Art. 6 RGPD(ausencia de base jurídica para tratar los datos de esos terceros). Sanción propuesta: 4.000 euros. El precedente no dice que WhatsApp esté prohibido en despachos. Dice que WhatsApp sin arquitectura documentada es responsabilidad íntegra del abogado.
El problema del WhatsApp en despachos jurídicos
El uso de WhatsApp por parte de abogados en España es masivo y silencioso. No hay estudio oficial que lo cuantifique. El proxy más cercano es el trabajo del Colegio de la Abogacía de Barcelona: el 55% de los abogados catalanes y el 54% de los madrileños declararon usar WhatsApp como herramienta principal de comunicación profesional, aunque referido entre compañeros. La proyección razonable en comunicación cliente-abogado es entre el 40% y el 60% de los despachos, y menos del 5% con WhatsApp Business API oficial.
La primera institución que se pronunció fue la Autoridad Catalana de Protección de Datos (APDCAT) en el Dictamen CNS-24/2013 del 2 de julio de 2013. Recomendó no utilizar WhatsApp entre abogado y cliente por deficiencias en el cumplimiento del entonces marco de protección de datos y por el acceso indiscriminado de la aplicación a la agenda del terminal. El Colegio de Sabadell asumió la recomendación oficialmente. El dictamen no ha sido revocado, aunque ha quedado desactualizado por la aparición de WhatsApp Business API con contrato Art. 28 firmable.
El Consejo General de la Abogacía Española no ha publicado hasta la fecha una circular vinculante sobre WhatsApp cliente-abogado. Sí existen tres guías relevantes por analogía: la Guía de ciberseguridad y reputación online(CGAE + INCIBE, 2017), el Decálogo del despacho ciberseguro (CGAE, 2018) y la Guía práctica de ciberseguridad para la abogacía del Colegio de Madrid (ICAM, diciembre 2024). Ninguna de las tres prohíbe WhatsApp; todas exigen confidencialidad técnica y contractual acreditable.
El resultado real es paradójico. Muchos despachos evitan automatizar el WhatsApp por miedo a la LOPD y siguen operando con WhatsApp personal en el terminal del abogado, que es la variante con peor cobertura jurídica de todas las posibles. La ausencia de arquitectura formal no es prudencia, es exposición. La AEPD PS/00311/2022 sancionó precisamente esa configuración.
La lectura correcta del marco actual es que un despacho puede y debe comunicar con cliente por WhatsApp si organiza la relación en torno a cuatro piezas: WhatsApp Business API con proveedor Encargado del Tratamiento, DPA firmable, base jurídica documentada por asunto y log auditable de consentimientos. Sin esas cuatro piezas, cualquier accidente del abogado (foto de sentencia enviada por error, grupo de WhatsApp con datos, sincronización de agenda a la nube personal) se convierte en infracción del Art. 5.1.f RGPD sin defensa posible.
Qué exige la LOPD y RGPD cuando un abogado usa WhatsApp con cliente
La respuesta operativa cabe en siete bloques normativos concretos. Los datos del cliente y los de terceros mencionados en el expediente están sujetos al RGPD, a la LOPDGDD (Ley Orgánica 3/2018), al secreto profesional del Art. 542.3 LOPJ, a la LSSI para comunicaciones comerciales y al régimen de brechas del Art. 33-34 RGPD. La estructura de cumplimiento razonable se apoya en los siguientes puntos.
1. Base jurídica del tratamiento (Art. 6 RGPD)
La base preferente para el tratamiento por WhatsApp de datos del cliente con hoja de encargo firmada es el Art. 6.1.b RGPD (ejecución de contrato). Esta lectura se apoya en el Protocolo AEPD-CGAE 2019 y en el criterio interpretativo del Comité Europeo de Protección de Datos. Las obligaciones paralelas al servicio (facturación, prevención de blanqueo, LPAC) se apoyan adicionalmente en el Art. 6.1.c RGPD(cumplimiento de obligación legal).
Para lead entrante por WhatsApp (potencial cliente que escribe sin encargo previo) la base es Art. 6.1.b in fine RGPD (medidas precontractuales) o Art. 6.1.f RGPD(interés legítimo) con test LIA documentado. El consentimiento del Art. 6.1.a no es la base recomendada porque es revocable, obliga a acreditarlo por Art. 7 y contamina la relación contractual.
2. Categorías especiales del Art. 9 RGPD en familia, penal y laboral
Los datos de salud, ideología, vida sexual, condena penal o afiliación sindical presentes en un expediente (frecuentes en derecho de familia, laboral y penal) son categoría especial. La habilitación operativa preferente es el Art. 9.2.f RGPD: tratamiento necesario para la formulación, ejercicio o defensa de reclamaciones. El consentimiento del Art. 9.2.a es alternativa débil y el Art. 9.1 LOPDGDD advierte que "el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento" cuando la finalidad principal sea identificar ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
Para datos penales el Art. 10 RGPD exige habilitación en Derecho de la Unión o del Estado miembro. La LOPJ y la LECrim la proporcionan a los efectos de defensa penal.
3. Deber de secreto profesional (Art. 542.3 LOPJ y Art. 199.2 CP)
El Art. 542.3 de la Ley Orgánica 6/1985 del Poder Judicial establece verbatim: "Los abogados deberán guardar secreto de todos los hechos o noticias de que conozcan por razón de cualquiera de las modalidades de su actuación profesional, no pudiendo ser obligados a declarar sobre los mismos." Es deber sin límite temporal, extensible a colaboradores y personal por Art. 21 EGAE (Real Decreto 135/2021).
La divulgación de secretos profesionales integra el tipo del Art. 199.2 CP, castigado con prisión de 1 a 4 años, multa de 12 a 24 meses e inhabilitación especial de 2 a 6 años. El Art. 118.4 LECrimdeclara inviolables las comunicaciones abogado-cliente salvo indicios objetivos de participación del abogado en el hecho delictivo.
La consecuencia práctica es que el canal WhatsApp debe garantizar cifrado en tránsito, control de acceso al backend, trazabilidad del acceso y borrado seguro. El Art. 16 EGAE exige adicionalmente cifrado o firma electrónica en comunicaciones confidenciales por servicios en línea.
4. Registro de actividades de tratamiento (Art. 30 RGPD)
Todo despacho, sea cual sea su tamaño, debe llevar registro de actividades de tratamiento por Art. 30 RGPD. La introducción de un canal WhatsApp obliga a añadir la actividad "comunicación con cliente por mensajería instantánea", con identificación del Responsable, finalidad, base jurídica, categorías de datos, plazo de conservación, destinatarios (incluido el Encargado tecnológico y sus subencargados) y medidas técnicas y organizativas.
5. Retención y derecho al olvido (Art. 32 LOPDGDD)
Es el Art. 32 LOPDGDD, no el Art. 21, el que regula el bloqueo de datos suprimidos. Los datos se identifican y reservan hasta la prescripción de responsabilidades. Los plazos aplicables al despacho:
- Responsabilidad civil del abogado: 5 años por Art. 1964.2 del Código Civil.
- Prevención de blanqueo: 10 años por Art. 25.1 de la Ley 10/2010, y solo cuando el despacho realice las operaciones tasadas del Art. 2.1.n (transacciones inmobiliarias, gestión de fondos, constitución de sociedades).
- Secreto profesional: perpetuo sobre el contenido material del asunto.
La configuración correcta del sistema no es borrado agresivo. Es bloqueo con trazabilidad configurable por asunto: 5 años civil por defecto, 10 años cuando aplique blanqueo, sin acceso al contenido más allá de la reserva a efectos de responsabilidad.
6. Notificación de brechas (Art. 33 y 34 RGPD)
Una brecha de seguridad relacionada con WhatsApp del despacho (filtración de conversación, acceso indebido al backend, envío erróneo a destinatario incorrecto) obliga al Responsable a notificar a la AEPD en el plazo de 72 horas siempre que entrañe riesgo para los derechos de las personas físicas (Art. 33 RGPD). Si el riesgo es alto, debe comunicarse adicionalmente al afectado sin dilación indebida por Art. 34 RGPD.
La existencia de trazabilidad del sistema (quién accedió, cuándo, a qué) es determinante para la calificación de la infracción y para la cuantía de la sanción. Un WhatsApp filtrado desde WhatsApp personal sin trazabilidad tiene mejor asiento para agravantes de negligencia grave que una filtración desde una arquitectura con logs completos.
7. Encargo de tratamiento con el proveedor tecnológico (Art. 28 RGPD)
El despacho es Responsable del Tratamiento por defecto (Art. 542.2 LOPJ, independencia profesional). Cualquier proveedor tecnológico que trate datos personales por su cuenta es Encargado del Tratamiento y debe firmar contrato Art. 28.3 RGPD. El contrato tiene contenido mínimo tasado: objeto, duración, naturaleza y fin del tratamiento, tipo de datos, categorías de interesados, obligaciones del Encargado, subencargados autorizados, medidas técnicas y organizativas, deber de asistencia al Responsable en el ejercicio de derechos y devolución o supresión de datos al finalizar.
En WhatsApp Business API el esquema es: despacho (Responsable), proveedor tecnológico (Encargado), Meta como subencargado inevitable. El proveedor tecnológico debe listar el resto de subencargados (BSP, base de datos, proveedor de correo, Stripe si hay cobros) con residencia identificada. Sin subencargados sorpresa.
8. Marketing por WhatsApp bajo Ley 34/2002 LSSI
El Art. 21.1 LSSI prohíbe el envío de comunicaciones publicitarias o promocionales por medios electrónicos que no hayan sido previamente solicitadas o expresamente autorizadas. La AEPD y los tribunales equiparan WhatsApp a medio electrónico equivalente. Marketing masivo a leads fríos por WhatsApp es ilícito.
El Art. 21.2 LSSI abre la excepción del soft opt-in: es lícito enviar comunicaciones sobre servicios similares a los contratados cuando exista relación contractual previa, los datos se hayan obtenido lícitamente y se ofrezca en cada envío un procedimiento sencillo y gratuito de oposición. Recordatorios de cita, notificaciones de expediente y recall a clientes activos con base contractual encajan en esta franja.
El régimen sancionador es propio de la LSSI: leves hasta 30.000 euros (Art. 38.4), graves entre 30.001 y 150.000 euros (Art. 38.3) y muy graves entre 150.001 y 600.000 euros (Art. 38.2), aplicables por la AEPD como órgano competente. Es cuantía adicional a la sanción RGPD del Art. 83.
Regla operativa para el despacho: el sistema debe distinguir por defecto entre plantillas de servicio (recordatorio, confirmación, aviso de documentación) que operan bajo Art. 6.1.b y Art. 21.2 LSSI, y plantillas promocionales, que solo pueden salir a clientes con relación contractual previa y con opción de baja visible. El sistema no debe permitir envíos masivos a leads fríos porque el Art. 21.1 LSSI lo prohíbe.
Este marco se complementa con la guía de la AEPD para el uso de cookies (no aplicable a WhatsApp), con la actualización de las Guías CGAE mencionadas y con el criterio interpretativo del Comité Europeo de Protección de Datos en las Directrices 02/2019 sobre bases jurídicas contractuales y las Directrices 03/2020 sobre categorías especiales. Para una revisión general de RGPD en mensajería empresarial que aplica también a otros sectores, escribimos previamente RGPD y WhatsApp Business: qué puedes enviar y qué no.
Cinco errores típicos que llevan a sanción AEPD
El patrón de las resoluciones sancionadoras de la AEPD relacionadas con WhatsApp y datos profesionales converge en cinco tipologías. La lista es útil como diagnóstico interno del despacho.
Error 1: envío de documentos con datos de terceros sin anonimizar
Es el patrón exacto de la resolución PS/00311/2022. La abogada envió por WhatsApp una sentencia que incluía datos personales de partes ajenas al cliente que recibía el mensaje. La AEPD apreció infracción del Art. 5.1.f y del Art. 6 RGPD. Sanción: 4.000 euros. Corrección: cualquier documento con datos de terceros (sentencias, resoluciones administrativas, informes) debe anonimizar o pseudonimizar antes de compartirse por cualquier canal, WhatsApp incluido.
Error 2: incluir a terceros en la comunicación (grupo, copia, reenvío)
La resolución LVMH Iberia (2025) sancionó con 42.000 euros (reducidos de 70.000 por reconocimiento y pago voluntario) la introducción de una trabajadora en un grupo de WhatsApp sin consentimiento. En despachos, el equivalente es meter al cliente y a su cónyuge en el mismo grupo del divorcio, o el reenvío por copia a un colaborador externo sin base jurídica. Cada participante nuevo exige base jurídica propia. Los grupos con clientes están prácticamente desaconsejados.
Error 3: uso de WhatsApp personal del empleado del despacho
Una asesoría (identidad no publicada) fue sancionada con 5.000 euros por permitir que un empleado usara su WhatsApp personal para tratar datos de cliente pese a la oposición previa del interesado. En despachos, el uso del terminal personal del abogado sin política interna, sin log y sin separación entre esfera personal y profesional acumula agravantes por negligencia grave.
Error 4: ausencia de aviso legal y política de privacidad accesibles al inicio del canal
El Art. 13 RGPD obliga a informar al interesado en el momento de obtener los datos: identidad del Responsable, finalidades, base jurídica, destinatarios, plazos y derechos. En WhatsApp, la práctica correcta es que el primer mensaje del canal remita al aviso legal del despacho y a la política de privacidad, con enlaces accesibles. Su ausencia no es solo agravante en caso de sanción, es infracción autónoma.
Error 5: sincronización de la agenda del terminal a la nube personal del abogado
Fue el motivo original del Dictamen APDCAT CNS-24/2013 y sigue siendo relevante. Cuando el abogado utiliza su terminal personal con WhatsApp, la agenda del terminal (con datos de todos los clientes) se sincroniza a la nube del proveedor de sistema operativo (iCloud, Google) sin base jurídica del despacho. Es transferencia internacional de datos personales sin cobertura Art. 44 RGPD.
Diagnóstico rápido: si el despacho responde afirmativamente a alguna de estas cinco preguntas, tiene exposición sancionadora abierta. ¿Se envían sentencias por WhatsApp sin anonimizar? ¿Hay grupos con clientes? ¿Se usa WhatsApp personal para expedientes? ¿Falta aviso legal en el canal? ¿La agenda del abogado se sincroniza a su iCloud o Google personal? Cualquier "sí" es un frente abierto.
Cómo Engrana está construido con LOPD por defecto
Engrana no es un consejo jurídico. Es una capa de software que opera sobre WhatsApp Business API. La diferencia frente a una configuración manual del despacho está en que las decisiones de compliance vienen preinstaladas por defecto y no dependen de que cada abogado las active de nuevo con cada cliente.
BSP con residencia en la Unión Europea
El proveedor de solución de negocio (BSP) que gestiona el acceso al API de WhatsApp opera desde la Unión Europea. Es una decisión de arquitectura, no de configuración del cliente. Mitiga el Art. 44 RGPD sobre transferencias internacionales frente a alternativas con BSP estadounidense. La Decisión de Adecuación EU-US Data Privacy Framework del 10 de julio de 2023 (confirmada por el Tribunal General de la UE el 3 de septiembre de 2025 en el asunto Latombe) cubre formalmente a los BSP estadounidenses, pero el riesgo residual y la percepción de la AEPD frente a un proveedor europeo son mejores.
DPA Art. 28 RGPD firmable con contenido mínimo tasado
Engrana entrega al despacho un contrato de encargo del tratamiento con el contenido mínimo del Art. 28.3 RGPD: objeto, duración, naturaleza, fin, tipo de datos, categorías de interesados, obligaciones y derechos del Responsable (despacho), obligaciones del Encargado (Engrana), listado de subencargados (Meta, BSP europeo, proveedor de base de datos, Stripe cuando hay cobros de señal, proveedor de correo transaccional) y devolución o supresión al finalizar.
Log auditable de consentimientos
Todo consentimiento del cliente (para recibir recordatorios, para cobro de señal, para grabación de la comunicación, para reseña Google) se registra con timestamp, texto exacto aceptado, número de teléfono y hash del mensaje. El log es exportable en formato apto para acreditar Art. 7 RGPD ante la AEPD y aportable en juicio ex Art. 326.3 LEC como prueba documental electrónica.
Bloqueo Art. 32 LOPDGDD configurable por asunto
La retención se configura por asunto y no por cliente global. Un cliente con tres asuntos abiertos (un divorcio, una reclamación mercantil y un asunto laboral) tiene tres retenciones independientes por materia. Defecto de 5 años (Art. 1964.2 CC) y opcional de 10 años cuando aplica Art. 25.1 Ley 10/2010 blanqueo.
Plantillas Art. 21.2 LSSI soft opt-in por defecto
Las plantillas de recordatorio, confirmación, aviso de documentación pendiente y solicitud de reseña llevan por defecto el texto informativo de baja: procedimiento sencillo y gratuito de oposición visible en cada envío. Las plantillas promocionales solo pueden dirigirse a clientes con hoja de encargo previa. El sistema no permite envíos masivos a lead frío por diseño, no por configuración.
Retención configurable y derecho al olvido automatizado
Ante ejercicio del derecho al olvido por el cliente (Art. 17 RGPD), el sistema no borra agresivamente: bloquea con trazabilidad conforme al Art. 32 LOPDGDD hasta que expira el plazo legal aplicable y entonces suprime. El log del ejercicio del derecho se conserva.
Aviso legal integrado en el primer mensaje del canal
El primer mensaje del canal envía al cliente el aviso legal del despacho, con enlace a la política de privacidad y aclaración de la base jurídica del tratamiento. Cumple Art. 13 RGPD sin depender de que el abogado se acuerde.
Estas siete decisiones son diferenciadoras frente a la configuración manual de WhatsApp Business API por un despacho y frente al uso de WhatsApp personal. Ninguna es innovación patentada. Son la aplicación estricta del marco vigente, movida a la capa de producto para que no dependa de la memoria del abogado.
Para una visión más amplia del posicionamiento de Engrana en el sector jurídico y su relación con software de gestión existente (Aranzadi, Kleos, Sudespacho), la landing sectorial en Engrana para despachos de abogados describe la arquitectura completa. Los detalles funcionales y de precio están en producto y precio.
Checklist de compliance en 10 pasos
Esta lista sirve como diagnóstico interno del despacho. No sustituye asesoría jurídica específica, pero cubre el 90% del riesgo real ante una eventual inspección o denuncia.
- Migrar del WhatsApp personal al WhatsApp Business API Cloud oficial. No WhatsApp Business app (versión PYME), sino API con BSP identificable. La versión personal y la PYME no permiten firmar contrato Art. 28.
- Firmar contrato Art. 28 RGPD con el proveedor tecnológico y BSP. Con listado explícito de subencargados y país de residencia de cada uno. Sin subencargados sin nombre.
- Documentar la actividad de tratamiento "comunicación por WhatsApp" en el registro Art. 30 RGPD del despacho. Finalidad, base jurídica, categorías, plazo, destinatarios, medidas.
- Redactar y publicar aviso legal específico del canal WhatsApp, accesible desde el primer mensaje que el cliente recibe. Con enlace a política de privacidad y contacto del DPD si el despacho lo tiene.
- Configurar retención por asunto según Art. 32 LOPDGDD. 5 años civil por defecto. 10 años si aplica Ley 10/2010 blanqueo. Bloqueo con trazabilidad, no borrado.
- Diferenciar plantillas transaccionales (Art. 21.2 LSSI) y plantillas promocionales. Las promocionales solo a clientes con relación contractual previa y con procedimiento de oposición visible. Prohibir envíos masivos a lead frío.
- Anonimizar o pseudonimizar cualquier documento con datos de terceros antes de enviarlo por WhatsApp.Sentencias, resoluciones administrativas, informes periciales con partes ajenas.
- Prohibir explícitamente por política interna los grupos de WhatsApp con clientes, salvo casos excepcionales con consentimiento explícito de todos los participantes y motivo documentado.
- Formar al equipo del despacho en la política de WhatsApp interna. Con acuse de recibo firmado. Es agravante frente a la AEPD que la infracción sea consecuencia de falta de formación demostrable.
- Establecer protocolo de gestión de brechas de seguridad conforme a Art. 33 y 34 RGPD. Con responsable interno del despacho, ficha de brecha estandarizada y plazo de notificación a la AEPD de 72 horas.
Un despacho que cumple los diez pasos y opera sobre una arquitectura auditable de WhatsApp Business API tiene una defensa razonable ante inspección. Un despacho que sigue en WhatsApp personal no tiene defensa técnica: solo depende de que ningún cliente denuncie y de que ningún error humano se filtre.
Comparativa: Engrana, Sudespacho, Kleos y WhatsApp Business puro
El objetivo es comparar los cuatro escenarios reales que puede plantearse un despacho pequeño español para operar comunicación con cliente en 2026. No es tabla de marketing: es diagnóstico de qué cubre cada opción.
| Función crítica | Engrana | Sudespacho.net | Kleos (Wolters) | WhatsApp Business puro |
|---|---|---|---|---|
| WhatsApp Business API oficial Cloud | Sí | Parcial | No | No (versión PYME) |
| IA conversacional con memoria del cliente | Sí | No | No | No |
| DPA Art. 28 RGPD firmable específico WhatsApp | Sí | Parcial | Sí (para ERP) | No |
| BSP con residencia UE por defecto | Sí | No documentado | No aplica | No garantizado |
| Log auditable de consentimientos Art. 7 RGPD | Sí | Parcial | No específico | No |
| Bloqueo Art. 32 LOPDGDD por asunto | Sí | Parcial | Parcial | No |
| Plantillas Art. 21.2 LSSI soft opt-in | Sí | No documentado | No | No |
| Gestión de expedientes y LexNET | No (complementa) | Sí | Sí | No |
| Base de datos jurídica integrada | No | No | Sí (Wolters) | No |
| Precio orientativo ES 2026 | 89 euros al mes flat | 36 a 90 euros al mes | 39 a 69 euros al mes por usuario | Coste API variable Meta |
Fuentes: sitios web oficiales de cada proveedor consultados en jun 2026. Precios sin IVA. Engrana no sustituye a Sudespacho, Kleos o Aranzadi: complementa la capa de comunicación con cliente que las suites de gestión legal no cubren de forma nativa. El escenario recomendado es despacho con ERP legal (Sudespacho, Kleos o Aranzadi) para expedientes y facturación, más Engrana para WhatsApp con arquitectura LOPD.
El único competidor con WhatsApp Business nativo en el rango de precio del despacho pequeño es Sudespacho.net, pero su implementación es mensajería manual entrante sin IA conversacional entrenada por cliente ni DPA específico del canal. Kleos y Aranzadi tienen DPA por su ERP pero no ofrecen módulo WhatsApp nativo. El uso directo de WhatsApp Business API por el despacho sin capa de producto implica que el propio despacho asume la firma con Meta, la gestión del BSP y la construcción del log de consentimientos, lo que es viable con un DPO propio pero raramente razonable en despacho de menos de cinco personas.
Preguntas frecuentes
Preguntas frecuentes
Sí, con arquitectura correcta. WhatsApp Business API Cloud con contrato Art. 28 RGPD firmado, BSP con residencia UE, plantillas alineadas con Art. 21.2 LSSI y log auditable de consentimientos es defendible ante la AEPD. WhatsApp personal con datos de expediente no lo es. La resolución AEPD PS/00311/2022 (4.000 euros a una abogada por enviar por WhatsApp una sentencia sin anonimizar) marca el precedente.
Art. 6.1.b RGPD (ejecución de contrato) para cliente con hoja de encargo firmada. Art. 6.1.b in fine (medidas precontractuales) para leads entrantes. Categorías especiales de familia, penal o laboral se apoyan en Art. 9.2.f RGPD (ejercicio y defensa de reclamaciones). El consentimiento no es la base recomendada porque es revocable y contamina la relación contractual.
Sí. El despacho es Responsable del Tratamiento por Art. 542.2 LOPJ. Cualquier proveedor tecnológico que trate datos de cliente es Encargado y debe firmar contrato Art. 28.3 RGPD con listado de subencargados identificables (Meta, BSP, base de datos). Sin DPA firmado, el despacho asume responsabilidad íntegra por cualquier tratamiento del proveedor.
No en el sentido que la mayoría entiende. Cloud API cifra en tránsito, pero Meta descifra el mensaje al llegar a su infraestructura para reencriptarlo hacia el webhook del despacho. Plantillas HSM y mensajes salientes no son E2E. Lo que un despacho puede prometer al cliente es cifrado en tránsito, no blindaje frente a Meta. Cualquier promesa contraria puede constituir publicidad engañosa.
Solo el permitido por Art. 21.2 LSSI soft opt-in: recordatorios, notificaciones y comunicaciones sobre servicios similares a clientes con relación contractual previa y procedimiento de oposición visible en cada envío. Marketing masivo a leads fríos está prohibido por Art. 21.1 LSSI. Sanciones: leves hasta 30.000 euros, graves de 30.001 a 150.000 euros y muy graves de 150.001 a 600.000 euros.
Retención configurable por asunto según Art. 32 LOPDGDD. 5 años por defecto (Art. 1964.2 CC, prescripción de responsabilidad civil del abogado). 10 años opcional para despachos con obligaciones Art. 25.1 Ley 10/2010 de blanqueo cuando aplique. Bloqueo con trazabilidad, no borrado agresivo. El secreto profesional del Art. 542.3 LOPJ es perpetuo sobre el contenido material.
Sí como firma simple del Art. 3.10 eIDAS. Admisible como prueba por Art. 25.1 eIDAS y Art. 326.3 LEC, aunque impugnable y sin equivalencia automática a firma manuscrita. Para consentimientos ordinarios y confirmaciones operativas es defendible con log auditable (timestamp, texto, teléfono, hash). Para hoja de encargo o consentimientos sobre categorías especiales del Art. 9 RGPD conviene firma avanzada o cualificada.
Es la infracción exacta que la AEPD sancionó en PS/00311/2022 con 4.000 euros a una abogada. Enviar documentos con datos personales de terceros no anonimizados por WhatsApp vulnera Art. 5.1.f RGPD (integridad y confidencialidad) y Art. 6 RGPD (base jurídica del tratamiento de esos terceros). Toda comunicación de expedientes debe anonimizar o pseudonimizar datos de terceros no partes.
No es obligación legal literal si el proveedor USA cumple el marco EU-US Data Privacy Framework (Decisión de Adecuación 10-jul-2023, confirmada por TG UE el 3-sep-2025). Pero minimiza el riesgo residual del Art. 44 RGPD sobre transferencias internacionales y facilita la defensa ante la AEPD. Preferir BSP europeo (360dialog Berlín es referencia) sobre BSP USA (Twilio) es best practice actual.
Art. 33 RGPD obliga a notificar a la AEPD en 72 horas si la brecha entraña riesgo para los derechos de los afectados. Art. 34 RGPD obliga a comunicarla al afectado sin dilación indebida si el riesgo es alto. Un WhatsApp filtrado con contenido de expediente en un sistema de fácil trazabilidad tiene mejor defensa que la misma filtración desde WhatsApp personal sin trazabilidad, donde el despacho probablemente no puede acreditar diligencia.
Cierre
El marco legal español permite el uso de WhatsApp entre abogado y cliente cuando se opera con arquitectura correcta. El precedente sancionador de la AEPD PS/00311/2022 no cierra la puerta al canal, la sujeta a diligencia técnica y contractual. Los despachos que renuncian a automatizar por miedo suelen operar en la variante peor cubierta del marco: WhatsApp personal en el terminal del abogado, con sincronización a nube personal, sin DPA, sin log, sin aviso legal, sin registro de actividades de tratamiento. La ausencia de arquitectura formal es la exposición máxima.
La respuesta profesional al problema es una capa de software con LOPD por diseño, no una hoja de encargo con una cláusula genérica. La conversación tiene que trasladarse del terreno de la buena fe del abogado al terreno de la arquitectura auditable del sistema. Cuando la AEPD pregunta, la respuesta útil no es "confié en mi criterio profesional", es "aporto DPA firmado con el proveedor, registro Art. 30 actualizado, log de consentimientos de este cliente y aviso legal del canal accesible desde la primera comunicación".
Si tu despacho quiere valorar cómo se aplica este marco a su realidad concreta (número de asuntos abiertos, mezcla de materias, tamaño de equipo, ERP legal actual), la vía razonable es una sesión de 30 minutos donde revisamos la arquitectura y proponemos el encaje. Sin promesas fuera del marco. Los detalles del posicionamiento en el sector jurídico están en Engrana para despachos de abogados.
Revisar la arquitectura LOPD del despacho
30 minutos con un caso real del despacho. Sin compromisos y sin promesas que no podamos defender ante la AEPD.
Reservar sesión de 30 min