La WhatsApp Business API para clínicas es la base técnica de cualquier solución de automatización seria en el sector sanitario. En España, su uso implica cumplir con el RGPD, la LOPD-GDD y la normativa específica de datos de salud. Esta guía cubre todo lo que necesitas saber.
Respuesta directa: La WhatsApp Business API cumple con el RGPD cuando se implementa a través de un proveedor europeo que procese los datos en la UE. Los datos de salud son categoría especial y requieren medidas adicionales: cifrado, DPA firmado y consentimiento explícito para campañas de marketing.
¿Qué es la WhatsApp Business API y en qué se diferencia de WhatsApp Business?
Muchas clínicas confunden estas tres soluciones:
| Solución | Para quién | Automatización | Múltiples agentes | API propia |
|---|---|---|---|---|
| WhatsApp personal | Uso personal | No | No | No |
| WhatsApp Business (app) | Pequeños negocios | Básica | No | No |
| WhatsApp Business API | Empresas | Total con IA | Sí | Sí |
La API es la única solución que permite integración real con IA, múltiples agentes simultáneos y automatización completa. Es también la única oficial y compatible con el RGPD para uso empresarial en Europa.
WhatsApp Business API y RGPD: el marco legal en España
El RGPD (Reglamento General de Protección de Datos) y la LOPD-GDD española establecen requisitos específicos para el tratamiento de datos de pacientes:
1. Datos de salud como categoría especial
El artículo 9 del RGPD establece que los datos de salud son una categoría especial de datos que requiere:
- Base legal reforzada (consentimiento explícito o necesidad para prestación asistencial)
- Medidas de seguridad adicionales
- Nombramiento de Delegado de Protección de Datos (DPD) si procesa grandes volúmenes
2. Infraestructura en Europa (SCCs y Transferencias Internacionales)
Los datos de pacientes de clínicas españolas deben procesarse en la Unión Europea o en países con nivel adecuado de protección. Cliniflux tiene toda su infraestructura en Europa.
La API de WhatsApp de Meta (empresa estadounidense) requiere analizar las transferencias internacionales. Los proveedores europeos resuelven esto mediante Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea.
3. Consentimiento y bases legales
Las bases legales más usadas en clínicas:
- Gestión de citas y recordatorios: Interés legítimo (con opción de opt-out clara)
- Campañas de reactivación y marketing: Consentimiento explícito previo obligatorio
- Seguimiento postratamiento: Ejecución del contrato asistencial
DPA (Data Processing Agreement): qué es y por qué tu clínica necesita uno
El contrato de encargado de tratamiento (DPA) es el documento que debes firmar con cualquier proveedor que trate datos de tus pacientes. Es obligatorio según el artículo 28 del RGPD.
El DPA debe incluir:
- Finalidad del tratamiento
- Tipos de datos tratados
- Medidas de seguridad aplicadas
- Subencargados (sub-procesadores) y su ubicación
- Procedimiento ante brechas de seguridad
- Derechos de los interesados
Cliniflux firma DPA con todos sus clientes antes de activar el servicio.
Requisitos técnicos de seguridad para datos sanitarios en WhatsApp
El Esquema Nacional de Seguridad (ENS) y las guías de la AEPD para datos sanitarios recomiendan:
- Cifrado en tránsito y en reposo — WhatsApp ya usa cifrado E2E; la plataforma de automatización debe cifrar los datos almacenados
- Control de acceso basado en roles — Solo el personal autorizado puede ver conversaciones de pacientes
- Logs de auditoría — Registro de quién accede a qué datos y cuándo
- Políticas de retención — Los datos deben eliminarse cuando ya no sean necesarios
- Plan de respuesta ante incidentes — Protocolo para notificar brechas en 72h a la AEPD
Cómo informar a tus pacientes del uso de WhatsApp automatizado
Según el RGPD, debes informar a tus pacientes cuando empiezan a interactuar con un sistema automatizado. Esto se puede hacer:
- En el primer mensaje de Natalia: «Soy Natalia, el asistente virtual de [Clínica]. Si en algún momento quieres hablar con una persona, dímelo.»
- En tu política de privacidad: indicar que usas automatización WhatsApp
- En el formulario de registro de nuevos pacientes
Qué preguntar a tu proveedor de automatización WhatsApp
Antes de contratar cualquier solución, asegúrate de preguntar:
- ¿Firmáis DPA? ¿Puedo ver el modelo?
- ¿Dónde están alojados los datos de mis pacientes?
- ¿Usáis la API oficial de WhatsApp Business?
- ¿Cómo gestionáis las solicitudes de derechos RGPD de pacientes?
- ¿Tenéis plan de respuesta ante brechas de seguridad?
- ¿Cuánto tiempo retenéis los datos de conversaciones?
Cliniflux cumple todos los requisitos RGPD para clínicas
DPA incluido, infraestructura europea, API oficial de WhatsApp. Solicita la documentación y una demo.
Ver documentación RGPD →Conclusión
La WhatsApp Business API puede usarse de forma completamente legal y segura en clínicas españolas, siempre que se elija un proveedor europeo que garantice el cumplimiento RGPD, firme el DPA y use únicamente la API oficial de Meta.
Lee más sobre cómo funciona la automatización en nuestra guía completa de automatización WhatsApp para clínicas.
Las consecuencias reales de no cumplir el RGPD en tu clínica
Muchos gestores de clínicas ven el RGPD como burocracia teórica. Las sanciones de la AEPD dicen lo contrario:
- Hasta 20 millones de euros o el 4% de la facturación global anual (la cifra mayor)
- En la práctica, para clínicas pequeñas: multas de 3.000-50.000€ en casos de brechas de seguridad o ausencia de DPA
- Daño reputacional: las sanciones de la AEPD son públicas
- Obligación de notificar a todos los pacientes afectados por una brecha
Desde 2018, la AEPD ha multado a centros sanitarios específicamente por compartir datos de pacientes sin base legal, acceso no autorizado a historiales clínicos y comunicaciones de marketing sin consentimiento. WhatsApp es un canal que concentra datos sensibles — la diligencia es obligatoria.
La lista de verificación RGPD para usar WhatsApp en tu clínica
Esta checklist resume los requisitos que debe cumplir cualquier solución de WhatsApp en un entorno sanitario español:
Requisitos del proveedor
- ☐ Usa la API oficial de WhatsApp Business (no soluciones no oficiales)
- ☐ Infraestructura alojada en la Unión Europea
- ☐ Firma contrato DPA con tu clínica antes de activar el servicio
- ☐ Tiene Plan de Respuesta ante Incidentes documentado
- ☐ Cumple con el Esquema Nacional de Seguridad (ENS) o ISO 27001
- ☐ Subprocesadores conocidos y ubicados en la UE
Requisitos de tu clínica
- ☐ Política de privacidad actualizada mencionando el uso de WhatsApp automatizado
- ☐ Registro de Actividades de Tratamiento (RAT) actualizado
- ☐ Formulario de registro de nuevos pacientes con mención al tratamiento de datos WhatsApp
- ☐ Proceso documentado para atender derechos ARCO (acceso, rectificación, cancelación, oposición)
- ☐ Para campañas de marketing WhatsApp: lista de consentimientos explícitos
Cómo obtener el consentimiento correcto para WhatsApp en tu clínica
El consentimiento para usar WhatsApp con pacientes debe ser:
- Libre: No puede ser condición para recibir atención médica
- Específico: El paciente debe saber para qué se usará WhatsApp (citas, recordatorios, campañas...)
- Informado: Debe haber recibido la información de privacidad
- Inequívoco: No vale el silencio. Debe ser una acción afirmativa (firma, check en formulario, respuesta activa)
Ejemplo de texto de consentimiento para formulario de paciente
«☐ Consiento el envío de comunicaciones por WhatsApp relacionadas con la gestión de mis citas (recordatorios, confirmaciones y cambios de cita).
☐ Consiento además el envío de comunicaciones de marketing por WhatsApp (promociones, campañas de salud, novedades de la clínica).
Puede revocar este consentimiento en cualquier momento escribiéndonos a [email] o respondiendo BAJA en cualquier mensaje de WhatsApp.»
Los dos checkboxes deben ser independientes. El marketing no puede bundlearse con las comunicaciones de gestión de citas.
WhatsApp no oficial vs. API oficial: el riesgo legal y operativo
Algunas soluciones del mercado usan WhatsApp de forma no oficial (mediante bots que simulan un navegador o mediante APIs no oficiales). Esto tiene consecuencias graves:
Riesgo 1: Bloqueo del número de teléfono
Meta detecta activamente el uso no oficial de su plataforma y bloquea los números permanentemente. Si el número de tu clínica queda bloqueado, pierdes todo el historial de conversaciones con pacientes y necesitas un número nuevo (con todo lo que eso implica).
Riesgo 2: Incumplimiento RGPD
Las soluciones no oficiales no cumplen con los estándares de seguridad requeridos para datos sanitarios. No disponen de DPA, no garantizan cifrado adecuado y no pueden responder ante una brecha de seguridad de forma estructurada.
Riesgo 3: Sin términos de servicio
Al usar WhatsApp sin API oficial, no existe relación contractual con Meta. Si algo falla, no hay SLA, no hay soporte y no hay responsabilidad contractual.
Regla práctica: Cualquier solución de WhatsApp para clínicas en España que cueste menos de 30€/mes probablemente usa métodos no oficiales. El coste mínimo de la API oficial de WhatsApp más un servidor europeo seguro ya supera esa cifra.
El papel del Delegado de Protección de Datos (DPD) en clínicas
El RGPD y la LOPD-GDD establecen que ciertas organizaciones están obligadas a nombrar un DPD:
- Hospitales, centros médicos y clínicas con tratamiento a gran escala de datos de salud → obligatorio
- Clínicas pequeñas (consultorios con menos de 50 pacientes activos) → recomendado pero no siempre obligatorio
En la práctica, la mayoría de las clínicas dentales, fisioterapia y especialidades que usan WhatsApp de forma extensiva deberían contar con un DPD, que puede ser interno o externo (un asesor jurídico especializado).
Actualizaciones recientes: WhatsApp y salud en Europa (2024-2025)
La regulación en este ámbito está evolucionando rápidamente. Los cambios más relevantes de los últimos 12 meses:
- Data Act (2024): Nueva normativa europea que refuerza los derechos de portabilidad de datos. Los pacientes podrán exigir con más facilidad la exportación de sus conversaciones y datos.
- AI Act (2025): La IA usada en contextos sanitarios puede clasificarse como "alto riesgo". Los sistemas de IA que recogen datos de salud o hacen triaje deben cumplir requisitos adicionales de transparencia.
- AEPD — Guía sobre IA y protección de datos (2024): La AEPD publicó guía específica sobre el uso de sistemas de IA con datos personales, aplicable directamente a chatbots médicos.
Cliniflux mantiene su documentación legal actualizada con todos estos cambios y la comparte con sus clientes.
Si quieres ver cómo se aplica el cumplimiento RGPD en la práctica para tu especialidad: WhatsApp para clínicas dentales, WhatsApp para fisioterapia, WhatsApp para clínicas estéticas, WhatsApp para psicología WhatsApp para nutrición o WhatsApp para salones de belleza.