Configuración concreta de cumplimiento para hoteles que utilizan WhatsApp: flujos de datos de Meta, base jurídica del RGPD, evitación del alcance PCI, reglas de conservación y los contratos que realmente necesita.
Todos los grupos hoteleros europeos con los que hablamos llegan a la misma pregunta a los diez minutos de cualquier conversación sobre WhatsApp: "¿esto es siquiera legal?". Sí, con condiciones. WhatsApp puede operarse dentro de las normas del RGPD y de PCI. Necesita los contratos correctos, los flujos de datos correctos y unas pocas reglas estrictas que el personal no puede saltarse.
Lo que está en juego no es teórico. La DPC irlandesa multó a Meta con €1.2bn en 2023 por las transferencias derivadas de Schrems II. Booking.com fue multado con €475,000 por la DPA holandesa en 2021 por la divulgación tardía de una brecha. Los hoteles en sí mismos rara vez reciben multas titulares. Habitualmente fallan auditorías, pierden cuentas corporativas que exigen una declaración de cumplimiento del RGPD y acaban con un alcance PCI que no habían presupuestado. Una mala configuración de WhatsApp también puede traducirse en reclamaciones ante la ICO, la CNIL o el Garante a partir de un único huésped que sienta que sus mensajes se han gestionado mal.
Esto es un manual operativo, no asesoramiento jurídico. Repase la lista de comprobación con su DPO o asesor legal antes de poner nada en producción. La hemos escrito para directores generales, responsables de TI y directores de operaciones de grupo que quieran un documento concreto que entregar al departamento legal, en lugar de una vaga garantía de "usamos un proveedor que cumple". Para una visión más amplia de los costes, consulte nuestro pilar sobre costes de WhatsApp para hoteles.
Antes de cualquier debate sobre cumplimiento, enumere los datos. En una configuración típica de WhatsApp en un hotel europeo, el canal transporta:
Las alergias y los datos de accesibilidad son categorías especiales de datos según el Artículo 9 del RGPD. Las imágenes de pasaporte son documentos de identidad. Las quejas sobre un niño enfermo son datos de salud. WhatsApp no es un canal de bajo riesgo solo porque a los huéspedes les resulte informal.
Para ver cómo estos datos interactúan con el resto de su stack, consulte integraciones y API en el stack tecnológico hotelero. El PMS, el proveedor de mensajería y cualquier capa de IA tocan estos datos, y su registro de actividades de tratamiento (Artículo 30) debe reflejarlo.
El error más habitual que vemos es que los hoteles aleguen consentimiento (Artículo 6(1)(a)) para todo. El consentimiento es la base más débil. Debe darse libremente, ser específico, informado e inequívoco, y el huésped puede retirarlo en cualquier momento. Si está enviando un mensaje de check-in a alguien que acaba de reservar a través de Booking.com, el consentimiento es la base equivocada.
Utilícelo para la mensajería transaccional vinculada a la reserva. Instrucciones de check-in, envío de códigos de llave, notificaciones de habitación lista, recordatorios de salida, enlaces de factura. El huésped suscribió un contrato al reservar. Enviar los mensajes necesarios para cumplir ese contrato es lícito sin consentimiento separado.
Utilícelo para mensajes de mejora del servicio, solicitudes de feedback tras la estancia y alertas operativas que no son estrictamente contractuales pero sí razonablemente esperables. Realice una Evaluación de Interés Legítimo (LIA) y documéntela. Los huéspedes deben poder oponerse fácilmente.
Reserve el consentimiento para el marketing. Las ofertas promocionales, los contenidos tipo newsletter y los mensajes de retargeting requieren un opt-in explícito, capturado antes de que se envíe el mensaje, con un mecanismo claro de retirada. Las casillas premarcadas no valen. La sentencia Planet49 de 2020 acabó con ese patrón.
Los hoteles que intentan operar todo bajo consentimiento acaban con tasas de opt-in bajas y problemas operativos cuando los huéspedes lo retiran. Dividir las bases por tipo de mensaje implica más trabajo inicial y mucho menos trabajo en producción.
WhatsApp en sí es operado por Meta Platforms Ireland Limited para los usuarios europeos. Además, utiliza un Business Solution Provider (BSP) como Twilio, 360dialog o MessageBird. Si está ejecutando una capa de IA, ese es otro encargado del tratamiento.
Meta actúa como encargado del tratamiento del contenido de los mensajes enviados a través de la API de WhatsApp Business. Sus términos incluyen condiciones de tratamiento de datos por referencia. No se firma un DPA en papel separado con Meta. El acuerdo son los términos de su BSP más los WhatsApp Business Solution Terms de Meta. Conserve una copia de ambas versiones que aceptó.
Twilio, 360dialog y MessageBird publican cada uno su propio DPA. Fírmelos. Confirme los subencargados (incluirán AWS, GCP, a veces regiones de Azure). Compruebe si el BSP procesa sus datos dentro de la UE o los enruta a través de EE. UU. 360dialog es una opción con sede en la UE que algunos hoteles prefieren por motivos de residencia.
Si ejecuta un AI Operator como Viqal sobre WhatsApp, también necesita un DPA con ese proveedor. Busque: residencia de datos en la UE, subencargados nombrados (el proveedor de LLM importa aquí), valores predeterminados de retención y el proceso de eliminación. Lea más en nuestra guía de seguridad de datos y cumplimiento.
Un huésped envía un correo electrónico a su DPO solicitando todos sus datos personales. Los registros de WhatsApp ya están en su BSP, en la base de datos del proveedor de IA, posiblemente en su CRM y en los servidores de Meta. Se aplican el Artículo 15 (acceso), el Artículo 17 (supresión) y el Artículo 20 (portabilidad).
Construya un runbook de DSAR antes de necesitarlo. Pasos que funcionan:
La supresión es más complicada. No puede borrar el hilo de WhatsApp del dispositivo del huésped. Deje clara esa limitación en su política de privacidad. Usted elimina del lado del servidor, pero el teléfono del huésped sigue conservando el hilo hasta que él mismo lo borre.
Una cuestión más sobre derechos: el Artículo 22 sobre decisiones automatizadas. Si su AI Operator toma decisiones que afectan al huésped (cambios de precio, asignaciones de habitación, denegaciones), indíquelo en la política de privacidad y ofrezca una vía de revisión humana. La mayoría de los usos de IA en hoteles son asistivos más que totalmente automatizados, pero consúltelo con su DPO. La línea entre "la IA redacta una respuesta y un humano la aprueba" y "la IA envía una respuesta directamente" importa.
La regla del PCI DSS es sencilla: si los datos del titular de la tarjeta pasan por sus sistemas, esos sistemas están dentro del alcance. WhatsApp no es distinto. Si un huésped escribe un número de tarjeta de 16 dígitos en un chat y su personal o su BSP pueden leerlo, acaba de ampliar el alcance de PCI para cubrir WhatsApp, su BSP, su capa de IA y cualquier agente que viera el hilo.
Por eso la regla más importante de cualquier política de WhatsApp en un hotel es: nunca acepte números de tarjeta en el chat. Ni de los huéspedes, ni del personal. Si un huésped envía uno, trátelo como un incidente de seguridad. Borre del lado del servidor, pida al huésped que utilice un enlace de pago y documente el suceso.
El patrón que funciona: enviar un enlace a una página de pago alojada gestionada por un proveedor que cumpla con PCI. Mews Payments, Stripe, Adyen, Worldline y pasarelas regionales equivalentes a Stripe lo soportan. Los datos de tarjeta del huésped van directamente a la pasarela, nunca tocan WhatsApp, nunca tocan su BSP, nunca tocan su proveedor de IA. Usted recibe un token o una confirmación de pago de vuelta vía webhook.
Bien hecho, esto le mantiene en SAQ A, el cuestionario de autoevaluación PCI más ligero. Mal hecho (cuando el personal teclea ocasionalmente números de tarjeta en el chat para "ayudar" a los huéspedes) cae a SAQ A-EP o peor, y a su QSA no le hará gracia.
Tiene tres relojes de conservación que conciliar:
Un patrón viable: mantener el registro de mensajes en vivo en su BSP durante 90 días, archivar registros estructurados (nombre del huésped, fechas, importes, referencia de reserva) en su PMS durante el periodo de conservación legal, y purgar el contenido en texto libre tras 12 meses salvo que haya una disputa abierta. Documente el calendario. El Artículo 5(1)(e) exige limitación de la conservación; "lo guardamos todo para siempre" no es una postura defendible.
Schrems II acabó con el Privacy Shield en 2020. Las Cláusulas Contractuales Tipo (SCC) más una evaluación de impacto de la transferencia son ahora el patrón habitual para cualquier flujo de datos a EE. UU. La multa a Meta de 2023 fue exactamente por esta cuestión.
Lo que cambió en 2024: Meta trasladó datos de usuarios de la UE a centros de datos europeos para varios productos de Meta. El enrutamiento del contenido de los mensajes de WhatsApp Business se ha modificado, pero no es una respuesta de una sola línea: consulte la documentación actual de residencia de datos de Meta para su configuración específica de BSP. No asuma residencia en la UE sin confirmarlo.
Para su capa de IA, haga tres preguntas: dónde está alojada la aplicación, dónde se ejecuta la inferencia del LLM y si se realiza algún entrenamiento sobre los datos de sus huéspedes. "No se entrena con datos de cliente" debe estar en el contrato. La región de inferencia importa porque algunos proveedores enrutan a regiones de EE. UU. por defecto.
Repásela con su DPO antes del lanzamiento. Cada elemento debe tener un responsable y una respuesta documentada.
| # | Elemento | Responsable |
|---|---|---|
| 1 | WhatsApp Business Solution Terms aceptados y versión archivada | TI |
| 2 | DPA con el BSP firmado (Twilio / 360dialog / MessageBird) | Legal |
| 3 | DPA con el proveedor de IA firmado, con subencargados nombrados | Legal |
| 4 | Lista de subencargados mantenida y revisada trimestralmente | DPO |
| 5 | Registro de tratamiento del Artículo 30 actualizado para incluir los flujos de WhatsApp | DPO |
| 6 | Base jurídica mapeada por tipo de mensaje (contractual, IL, consentimiento) | DPO |
| 7 | Evaluación de Interés Legítimo documentada para los mensajes de 6(1)(f) | DPO |
| 8 | Política de privacidad actualizada, menciona WhatsApp explícitamente | Marketing y DPO |
| 9 | Mecanismo de opt-out probado (palabra clave STOP respetada) | Operaciones |
| 10 | Runbook de DSAR que cubra exportaciones del BSP y del proveedor de IA | DPO |
| 11 | Runbook de eliminación con las API de los proveedores documentado | TI |
| 12 | Calendario de conservación del contenido de los mensajes (p. ej., 12 meses) | DPO |
| 13 | Formación del personal: nunca aceptar números de tarjeta en el chat | Director General |
| 14 | El flujo de enlace de pago utiliza una pasarela conforme a PCI (Mews / Stripe / Adyen) | Finanzas |
| 15 | SAQ A confirmado con el adquirente | Finanzas |
| 16 | El plan de respuesta a incidentes cubre escenarios de brecha de datos en WhatsApp | TI y DPO |
| 17 | Residencia de datos en la UE confirmada para el BSP y el proveedor de IA | TI |
| 18 | SCC + Evaluación de Impacto de la Transferencia archivadas para cualquier flujo fuera de la UE | Legal |
| 19 | Plantillas aprobadas por Meta y revisadas en cuanto a redacción de cumplimiento (consulte plantillas de WhatsApp para hoteles) | Marketing |
| 20 | Revisión anual programada con DPO y TI | DPO |
Lista larga. Cada elemento es algo sobre lo que un auditor o un inspector curioso de la DPA podría preguntar. Tener la respuesta lista en una carpeta es mejor que descubrir durante una investigación que nadie documentó la LIA hace dos años. Los directores generales a nivel de propiedad suelen ir bien con las reglas. Lo que requiere trabajo continuo es mantener alineada la memoria muscular de la recepción. Imparta la formación sobre números de tarjeta en el chat cada seis meses, no solo en la incorporación.
Construimos Viqal pensando en los hoteles europeos. Hosting en la UE, subencargados nombrados, sin entrenamiento con datos de huéspedes, controles de retención que usted configura por propiedad y un endpoint de exportación DSAR que devuelve un registro estructurado por huésped. También hemos publicado nuestra postura sobre seguridad y cumplimiento, que es la Parte 10 de nuestra serie sobre el stack tecnológico hotelero.
Nada de eso elimina sus obligaciones como responsable del tratamiento. Usted sigue siendo dueño de las decisiones sobre la base jurídica, la política de privacidad y las respuestas a las DSAR. Lo que intentamos hacer es reducir la superficie contractual y técnica de la que tiene que preocuparse, para que el canal de WhatsApp se sienta como una relación normal con un proveedor en lugar de un campo de minas de cumplimiento.
Para una visión más amplia operativa y de costes, el pilar sobre costes de WhatsApp para hoteles recorre los precios, las categorías de conversación y las cuentas de ROI. Cumplimiento y coste son dos caras de la misma decisión de configuración. Acierte con los contratos y lo demás vendrá detrás.
No siempre. Los mensajes transaccionales vinculados a la reserva (check-in, códigos de llave, recordatorios de salida) se amparan en el Artículo 6(1)(b) del RGPD, ejecución de un contrato. Los mensajes de servicio pueden ampararse en el 6(1)(f), interés legítimo, con una LIA documentada. Reserve el consentimiento explícito del 6(1)(a) para el marketing y los contenidos promocionales, con un opt-in claro y una retirada sencilla.
No. Aceptar datos de tarjeta en bruto en el chat arrastra a WhatsApp, a su BSP y a su capa de IA al alcance de PCI. Use enlaces de pago tokenizados, enviados por WhatsApp pero apuntando a una página alojada gestionada por Mews Payments, Stripe, Adyen o una pasarela similar conforme a PCI. Forme al personal para que nunca teclee números de tarjeta en el chat, ni siquiera cuando los huéspedes lo pidan.
Depende del tipo de mensaje. Las confirmaciones de reserva y las instrucciones de check-in suelen apoyarse en el Artículo 6(1)(b), necesidad contractual. Las alertas operativas y las solicitudes de feedback suelen funcionar bajo el 6(1)(f), interés legítimo, con una Evaluación de Interés Legítimo archivada. El marketing requiere consentimiento del Artículo 6(1)(a) con un opt-in específico. Mapee cada tipo de mensaje a una base y documéntelo.
Se aplican tres relojes: los valores predeterminados de retención de Meta, sus necesidades operativas (típicamente entre 90 días y 12 meses) y las obligaciones de la normativa fiscal sobre los registros de facturación (entre 7 y 10 años, según la jurisdicción). Un patrón habitual es 90 días en vivo en el BSP, 12 meses para el contenido en texto libre y los datos estructurados de factura archivados en el PMS durante el periodo legal. Documente el calendario.
Sí. Twilio, 360dialog, MessageBird y otros Business Solution Providers publican cada uno su propio DPA, separado de los WhatsApp Business Solution Terms de Meta. Fírmelo, confirme la lista de subencargados, compruebe la residencia de datos y conserve ambos documentos. Si además utiliza un proveedor de IA encima, ese es un tercer DPA. Su DPO necesita los tres.
Meta trasladó más datos de usuarios de la UE a centros de datos europeos durante 2024, en parte como respuesta a la multa de €1.2bn de Schrems II en 2023. El enrutamiento de WhatsApp Business ha cambiado, pero el cuadro varía según la configuración del BSP. No asuma residencia plena en la UE. Consulte la documentación actual de Meta sobre residencia de datos, las ubicaciones de tratamiento de su BSP, y actualice su evaluación de impacto de la transferencia en consecuencia.
-min.avif)
