¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

WhatsApp Business Chat

PreferenciasWebsite

¿Qué hace WhatsApp Business Chat?

WhatsApp Business Chat es la experiencia oficial click to chat de Meta que permite a un visitante de la web abrir una conversación de WhatsApp con un número profesional, ya sea mediante un enlace wa.me o un widget WhatsApp Business integrado. En cuanto el visitante hace clic (o se carga el script del widget), Meta Platforms Inc en EE. UU. recibe el número de teléfono, la IP, el User Agent y el contexto de la página. El RGPD y la Directiva ePrivacy exigen, por tanto, una información clara y, para cualquier widget cargado antes de la interacción, un consentimiento opt in previo.

Cómo funciona realmente una integración WhatsApp Business Chat

Una integración WhatsApp Business Chat combina habitualmente un enlace click to chat (wa.me/{telefono}?text=) en el sitio del operador y, opcionalmente, un widget JavaScript que abre la conversación en un panel lateral o chat flotante. La implementación más simple es un botón que abre https://wa.me/ con el número profesional y un mensaje preestablecido. Implementaciones más avanzadas se apoyan en la API WhatsApp Business a través de Meta o de un Business Solution Provider (Twilio, MessageBird, 360dialog) y pueden cargar un widget JavaScript desde facebook.net o desde el dominio del proveedor. El visitante puede así enviar el primer mensaje directamente desde el site mediante la API.

Qué datos reciben WhatsApp y Meta

Cuando el visitante pulsa el botón o, en el caso de un widget, cuando se carga el script, Meta y el eventual Business Solution Provider reciben la URL de la página, la IP, el User Agent y el número de teléfono introducido o preestablecido. Una vez iniciado el chat de WhatsApp, todos los mensajes, archivos adjuntos, el identificador de cuenta WhatsApp y los metadatos del dispositivo son tratados por Meta. El cifrado de extremo a extremo protege el contenido, pero Meta procesa metadatos significativos (marcas de tiempo, identificador del destinatario, frecuencia) fuera de la capa E2EE.

RGPD, ePrivacy y requisitos de consentimiento

Un botón puramente wa.me no instala cookies por sí mismo y no requiere consentimiento previo según el artículo 5(3) de la Directiva ePrivacy: es un enlace normal a un servicio de terceros. En cambio, el widget WhatsApp Business (o cualquier widget de chat de terceros equivalente) carga código de tracking y debe estar condicionado a un consentimiento opt in previo. La base legal del RGPD depende del momento del tratamiento: consentimiento para la carga del widget, contrato o medidas precontractuales para el contenido del chat una vez enviado el primer mensaje.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias a Meta en Estados Unidos

WhatsApp forma parte de Meta y se ejecuta sobre infraestructura estadounidense. Números de teléfono, IP, metadatos de conversación y mensajes cifrados llegan a Meta Platforms Inc. La autoridad de protección de datos de Hamburgo restringió en 2024 el uso de WhatsApp por la administración federal por preocupaciones de transferencia, y varios reguladores europeos desaconsejan WhatsApp en sectores sensibles. Los operadores deben apoyarse en el Marco UE EE. UU. de Privacidad de Datos (Meta está autocertificada), en Cláusulas Contractuales Tipo, documentar la evaluación de impacto de la transferencia e informar al visitante.

Cumplimiento práctico y alternativas más seguras

Prefiera un simple enlace wa.me a un widget integrado para que no se cargue ningún script antes de que el visitante haga clic. Muestre un aviso claro en el botón explicando que pulsarlo abrirá WhatsApp y compartirá el número y el mensaje con Meta. Firme las WhatsApp Business Terms y las condiciones de Meta pertinentes. Actualice la política de privacidad con el enlace a la política de WhatsApp. Alternativas más seguras: Signal (sin metadatos centralizados), Threema Work (proveedor suizo, sin número de teléfono), Matrix o un webchat auto alojado conectado a su CRM, que mantiene los datos del visitante en su propia infraestructura.

GDPR consent category

Preferencias

Websites using WhatsApp Business Chat must obtain user consent under GDPR regulations.

Legal basisArticle 6(1)(a) GDPR (consent) for the placement of any WhatsApp widget script or third party cookie before user interaction. Article 6(1)(b) GDPR (contract or pre contractual measures) is the dominant basis once the user has clicked the button or sent the first message. A simple wa.me link without widget script does not by itself trigger ePrivacy storage but the subsequent processing still requires lawful basis and information.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, French CNIL messaging guidance, German TTDSG, Spanish LSSI, Schrems II case law, Hamburg DPA 2024 decision, EU US Data Privacy Framework, WhatsApp Business Terms, Meta business tools terms

DPIA considerations

Una EIPD es muy recomendable cuando WhatsApp Business se utiliza como canal de soporte o venta en propiedades dirigidas a la UE, por la transferencia de alto riesgo a Meta en EE. UU. y el tratamiento sistemático de números de teléfono y metadatos de conversación. Debe cubrir el flujo de consentimiento para el widget opcional, la base legal del chat, el riesgo residual bajo el Marco UE EE. UU. de Privacidad de Datos, la conservación de las conversaciones y las alternativas más seguras evaluadas.

Sample consent text

Al hacer clic en el botón de WhatsApp se abrirá una conversación con nuestra empresa en WhatsApp. Su número de teléfono y su mensaje serán tratados por Meta Platforms Inc en EE. UU. conforme a la política de privacidad de WhatsApp. Si nuestro sitio utiliza un widget de WhatsApp, solo se cargará después de que acepte las cookies de comunicación y redes sociales.

Technical details

Tracking methodClick to chat button on the operator domain that opens a wa.me link, optional JavaScript widget loaded from facebook.net or a Business Solution Provider (Twilio, MessageBird, 360dialog), WhatsApp Business API for server side flows

Server locationMeta Platforms Ireland Ltd acts as the EEA controller for WhatsApp. Production infrastructure runs on Meta Platforms Inc data centres in the United States and Europe. The WhatsApp Business API may be operated via solution providers in various regions.

Cookieless tracking availableYes

Data transferred outside the EUWhatsApp is operated by Meta Platforms Ireland Ltd for the EEA and by Meta Platforms Inc globally. When the visitor opens the chat or when a widget script loads, the phone number, IP, User Agent and page context are transferred to Meta in the US. Transfers rely on the EU US Data Privacy Framework (Meta is self certified) and Standard Contractual Clauses. The Hamburg DPA restricted use of WhatsApp by federal authorities in 2024.

Third-party domains contacted

wa.meweb.whatsapp.combusiness.whatsapp.comgraph.facebook.comfacebook.netstatic.whatsapp.net

Cookies placed

Name	Type	Duration	Purpose
datr	http	2 years	Meta browser identifier set on facebook.net or facebook.com domain when a WhatsApp Business widget is loaded.
fr	http	90 days	Meta advertising cookie set when a WhatsApp Business widget or Meta Business Suite chat plugin is loaded.
wa_account_id	http	12 months	WhatsApp account identifier exposed when the visitor is logged into WhatsApp Web and opens the widget.
wa_csrf_token	http	Session	CSRF token used by the WhatsApp Business widget to secure interactions with wa.me and the Business API.

WhatsApp Business Chat utiliza cookies para las preferencias de los usuarios — informa a tus visitantes con un banner de consentimiento.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies instala el chat WhatsApp Business?

Un enlace wa.me simple no instala ninguna cookie en el dominio del operador. Un widget WhatsApp Business integrado o un proveedor externo (Twilio, MessageBird, 360dialog) carga JavaScript y puede instalar cookies del proveedor y cookies de Meta en facebook.net (datr, fr) y en wa.me (identificadores de sesión). Los usuarios conectados a WhatsApp Web pueden exponer además su wa_account_id al widget.

¿Requiere consentimiento el chat WhatsApp Business?

Un botón wa.me simple sin script de widget no activa operaciones de almacenamiento en el sentido de ePrivacy y no requiere consentimiento previo para el enlace, solo una información clara. Un widget WhatsApp integrado o un script de chat de terceros carga código de tracking y debe condicionarse a un consentimiento opt in previo. En cuanto el visitante envía un mensaje, el tratamiento posterior se apoya en el contrato o medidas precontractuales y en obligaciones de información.

¿Cuál es la base legal del tratamiento por WhatsApp?

El artículo 6(1)(a) del RGPD (consentimiento) cubre el widget opcional y cualquier tracking previo a la interacción. El artículo 6(1)(b) del RGPD (contrato o medidas precontractuales) es la base dominante para el contenido del chat una vez iniciada la conversación. La base legal debe constar de forma expresa en la política de privacidad y definirse claramente la conservación de las conversaciones.

¿Transfiere WhatsApp Business datos fuera de la UE?

Sí. WhatsApp es operado por Meta Platforms Inc en EE. UU. Números, IP, metadatos de conversación y mensajes cifrados transitan por infraestructura estadounidense. Las transferencias se apoyan en el Marco UE EE. UU. de Privacidad de Datos (Meta está autocertificada) y en Cláusulas Contractuales Tipo. La DPA de Hamburgo restringió en 2024 el uso de WhatsApp por la administración federal por preocupaciones de transferencia.

¿Es necesaria una EIPD para WhatsApp Business como canal de soporte?

Es muy recomendable en la mayoría de casos y obligatoria cuando WhatsApp se usa a gran escala para soporte o ventas en sectores regulados. La combinación de tratamiento masivo por Meta, transferencias internacionales de alto riesgo y tratamiento de números de teléfono que identifican personas en varios servicios Meta suele superar el umbral del artículo 35 del RGPD.

¿Cómo implemento el chat WhatsApp Business de forma conforme?

Prefiera un enlace wa.me a un widget integrado. Muestre en el botón un aviso indicando que el chat abrirá WhatsApp y compartirá el número con Meta. Si necesita un widget, bloquéelo hasta que el visitante acepte las cookies de comunicación. Firme las WhatsApp Business Terms, documente la conservación de conversaciones y actualice la política de privacidad con el enlace a la política de WhatsApp.

¿Qué alternativas más seguras hay a WhatsApp Business?

Signal Business (sin metadatos centralizados), Threema Work (proveedor suizo, sin número de teléfono), Matrix auto alojado, Microsoft Teams o Webex para contextos B2B, o un webchat auto alojado conectado a su CRM (LiveChat, Crisp auto alojado, Chatwoot). Estas alternativas mantienen los datos del visitante bajo su infraestructura o bajo regímenes de adecuación de la UE.

¿Cómo actualizo mi política de cookies para WhatsApp Business?

Mencione a Meta Platforms Inc como destinatario, enumere las cookies de Meta (datr, fr) cargadas por el widget, declare la transferencia a EE. UU., describa los datos compartidos (número, URL de página, mensaje), haga referencia a la política de privacidad de WhatsApp y a las WhatsApp Business Terms y explique la conservación de las conversaciones en su sistema.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note