Es posible que no puedas registrarte con nosotros ahora mismo, ya que nuestro producto está teniendo un tiempo de inactividad de 15 minutos. Solicito que tengas paciencia con nosotros.

Inicio
Right Chevron Icon
Blog
Right Chevron Icon
WhatsApp
Right Chevron Icon
LGPD WhatsApp Business 2026: Cumplimiento, Opt-in y Sanciones

LGPD WhatsApp Business 2026: Cumplimiento, Opt-in y Sanciones

Kashika Mishra

11
minutos leídos

May 20, 2026

LGPD WhatsApp Business 2026: guía completa de cumplimiento

Key Takeways

  • El cumplimiento de la LGPD es ahora un requisito operativo obligatorio para las empresas que utilizan WhatsApp Business en Brasil, y la ANPD aplica activamente las infracciones y sanciones que alcanzan hasta 50 millones de reales por infracción.
  • Empresas brasileñas que utilizan WhatsApp para marketing, la atención al cliente, la verificación de OTP o el comercio conversacional deben mantener una base legal válida, registros de consentimiento del cliente y flujos de trabajo de procesamiento de datos auditables.
  • La gestión explícita de las suscripciones es esencial para las campañas de marketing de WhatsApp en Brasil, mientras que los mensajes de utilidad y autenticación pueden depender de la necesidad contractual o del interés legítimo, según el caso de uso.
  • Las empresas deben implementar políticas de retención de datos, flujos de trabajo de eliminación de datos de clientes, registro de consentimiento y prácticas seguras de manejo de datos para cumplir con las regulaciones de la LGPD.
  • Elegir un Proveedor de WhatsApp Business con las herramientas de cumplimiento de la LGPD integradas, la gestión del consentimiento y la infraestructura de mensajería segura, reduce significativamente el riesgo legal y operativo.

    • El Ley General de Protección de Datos (LGPD) es la ley de privacidad brasileña en vigor desde 2020, aplicada por ANPD (Autoridad Nacional de Protección de Datos). En 2025, la ANPD entró en una fase de aplicación activa, y se impusieron multas reales a las empresas brasileñas que utilizaran WhatsApp para comunicarse con sus clientes sin una base legal adecuada. En 2026, el cumplimiento de la LGPD para WhatsApp Business ya no es opcional, sino que se ha convertido en una obligación técnica documentada con sanciones de hasta 50 millones de reales por infracción.

    Esta guía cubre todo lo que deben hacer todas las empresas brasileñas: base legal, suscripción, retención de datos, derechos de los titulares de los datos y recursos técnicos mínimos.

    Qué exige la LGPD con respecto a WhatsApp Business

    La LGPD trata los datos personales (incluidos el número de WhatsApp, el contenido de las conversaciones y los patrones de uso) según seis bases legales. Para el uso de WhatsApp Business con los clientes, las dos más comunes son:

    • Consentimiento (art. 7, I). El sujeto de los datos está de acuerdo explícitamente con el procesamiento. Base preferida para las comunicaciones promocionales y de marketing.
    • Ejecución del contrato (art. 7, V). Procesamiento necesario para cumplir el contrato con el interesado. Base para las confirmaciones de pedidos, las actualizaciones de envíos y las OTP de autenticación.

    La ANPD publicó una guía específica en 2024-2025 dejando en claro que el consentimiento por correo electrónico no cubre WhatsApp. Son canales diferentes y requieren consentimientos por separado.

    Cinco obligaciones mínimas para el cumplimiento de WhatsApp + LGPD en 2026:

    1. Base legal documentada para cada propósito (soporte, marketing, transaccional).
    2. Política de privacidad específica que menciona a WhatsApp como canal.
    3. Mecanismo de suscripción claro con registro auditable (marca de tiempo, IP, texto de consentimiento exacto).
    4. Mecanismo de exclusión voluntaria claro (palabra clave STOP, enlace de cancelación, proceso de eliminación manual).
    5. Retención limitada y eliminación programada de datos.

    Base legal: cómo elegir

    Empresas que utilizan Comunicación por WhatsApp en Brasil debe elegir cuidadosamente la base legal adecuada según la LGPD según el propósito de cada tipo de mensaje. OTP de autenticación, la verificación de la cuenta, las confirmaciones de pedidos, las actualizaciones de envío y las notificaciones de entrega se procesan normalmente en el marco de la ejecución de un contrato porque son necesarias para la prestación del servicio, la seguridad de la cuenta y la tramitación de la compra. Los recibos y las confirmaciones de pago también pueden estar sujetos a una obligación legal debido a los requisitos de mantenimiento de registros fiscales y financieros.

    Para las encuestas de satisfacción del cliente, las empresas pueden basarse en un interés legítimo o en el consentimiento explícito, aunque el uso del interés legítimo a menudo requiere una documentación Evaluación del interés legítimo (RIPD) para justificar la actividad de procesamiento. Las campañas de marketing, los mensajes promocionales, las campañas de recuperación de carritos abandonados y las campañas de reactivación de clientes generalmente requieren el consentimiento explícito del cliente en virtud de la LGPD, porque los reguladores brasileños clasifican cada vez más estos flujos de trabajo como actividades de marketing directo. Mantener registros de consentimiento, registros de aceptación y mecanismos claros de cancelación de suscripción es esencial para reducir el riesgo de cumplimiento y el funcionamiento flujos de trabajo de comunicación escalables en WhatsApp en Brasil.

    Suscripción que cumple con la LGPD

    El consentimiento válido según la LGPD debe ser libre, informado, inequívoco y específico.

    Gratuito

    No se puede condicionar a la obtención del producto/servicio.

    Informado

    El texto debe mencionar: lo que se enviará, la frecuencia aproximada, cómo cancelar, el enlace a la política.

    Inequívoco

    Acción positiva y clara. Casilla de verificación no comprobado previamente.

    Específico

    Para cada propósito, un consentimiento. No se puede agrupar.

    Ejemplo de suscripción válida

    [] Quiero recibir ofertas y noticias por WhatsApp
    (podemos enviar hasta 2 mensajes por semana, puedes cancelar respondiendo STOP)

    Ejemplo de suscripción no válida

    [x] Acepto las condiciones de uso, la política de privacidad y autorizo el marketing por correo electrónico y WhatsApp.

    Falla porque: comprobado previamente, paquete de múltiples propósitos. La ANPD lo considera inválido.

    Registro de consentimiento

    Para cada suscripción, documente:

    • Marca de tiempo completa (fecha, hora, zona horaria).
    • IP de origen.
    • Agente de usuario.
    • Texto de consentimiento exacto.
    • Versión de la política de privacidad en ese momento.
    • Canal de recogida (formulario web, aplicación, código QR).
    • Fines específicos autorizados.

    La ANPD en vigor puede solicitar un informe consolidado en un plazo de 15 a 30 días. A API de WhatsApp Business en Brasil mantiene un registro compatible con la LGPD para cada suscripción.

    Exclusión voluntaria: el mecanismo obligatorio

    Cada Comunicación de marketing de WhatsApp debe ofrecer un mecanismo de cancelación claro:

    • Palabra clave en texto libre. El cliente responde DETENER, FINALIZAR, CANCELAR. El sistema reconoce, elimina y confirma.
    • Botón de respuesta rápida. Plantilla con botón de no recibir más.
    • Enlace de administración. El enlace abre el panel donde el cliente administra las preferencias.

    Cinco reglas:

    1. Optar por no participar en TODOS los mensajes de marketing. No solo la inicial.
    2. Procesamiento en 24 horas. El cliente no puede recibir más después de 24 horas.
    3. Confirmación clara. El cliente debe recibir un mensaje de confirmación.
    4. No lo hagas difícil. Se prohíbe la doble confirmación y el inicio de sesión complejo.
    5. Mantener registro de exclusión voluntaria. Guardar marca de tiempo de exclusión voluntaria por un mínimo de 5 años.

    Retención de datos

    Las empresas que utilizan la API de WhatsApp Business en Brasil deben implementar políticas estructuradas de retención de datos para cumplir con la LGPD y mantener registros de auditoría defendibles.

    Los mensajes de marketing se recomienda generalmente que se almacenen hasta por dos años después de la última interacción del cliente para preservar la prueba de comunicación y la actividad de la campaña. Los mensajes transaccionales, incluyendo confirmaciones de pedidos, recibos y notificaciones de cuenta, se suelen conservar durante cinco años para alinearse con el período de prescripción del Código de Defensa del Consumidor (CDC) de Brasil. Los registros de consentimiento del cliente también deben mantenerse hasta por cinco años después de la revocación del consentimiento para proporcionar pruebas legales y de cumplimiento en caso de disputas. Los registros de envío operativos generalmente se conservan durante aproximadamente dos años para respaldar auditorías internas, investigaciones de entrega y monitoreo de la plataforma. Los registros de clientes inactivos a menudo se almacenan hasta por tres años para respaldar posibles campañas de reactivación de clientes y flujos de trabajo de recuperación de cuentas, manteniendo al mismo tiempo prácticas de gestión de datos conformes.

    Después de la retención, los datos deben ser anonimizados o eliminados. La anonimización no es un cifrado reversible.

    Derechos del titular de los datos

    La LGPD garantiza nueve derechos (art. 18):

    Confirmación del tratamiento

    Respuesta en 15 días.

    Acceso a los datos

    Copia electrónica en 15 días.

    Corrección de datos

    Sin costo.

    Anonimización, bloqueo o eliminación

    En 15 días, excepto por obligación legal.

    Portabilidad

    Archivo estructurado para transferencia.

    Información sobre el intercambio

    Lista de receptores de datos.

    Información sobre la falta de consentimiento

    Consecuencias explicadas de antemano.

    Revocación del consentimiento

    En un plazo de 24 horas.

    Revisión de decisiones automatizadas

    Revisión humana del algoritmo.

    Transferencia internacional

    Los servidores de Meta WhatsApp están fuera de Brasil. La LGPD permite la transferencia internacional con requisitos (art. 33). Para la operación de WhatsApp Business, la transferencia generalmente está cubierta por la ejecución del contrato con el titular de los datos.

    Los BSPs brasileños (o Plataformas de Marketing de WhatsApp) operan sus propios servidores en territorio nacional para el almacenamiento de registros, consentimientos y datos de gestión. Solo la transmisión de mensajes pasa por Meta.

    Operadores y controladores

    • Usted es el controlador. Su empresa decide qué enviar, a quién y con qué propósito. Es el principal responsable ante la ANPD.
    • El BSP es el operador. Procesa datos en su nombre según el contrato. Necesita un contrato de operador.
    • Meta es un suboperador. Procesa datos en nombre del BSP.

    Cláusulas mínimas en el contrato del BSP: propósitos específicos del procesamiento, medidas de seguridad técnicas, suboperadores autorizados, asistencia con los derechos del titular de los datos, notificación de incidentes en un plazo de 24 horas, eliminación o devolución de datos al finalizar el contrato.

    Incidente de seguridad

    Obligaciones en caso de incidente:

    1. Notificar a la ANPD en un plazo razonable. Hasta 72 horas es lo habitual; 24 horas en casos graves.
    2. Notificar a los titulares de datos afectados. Comunicación clara, sin jerga técnica.
    3. Documentar internamente. El informe se conserva un mínimo de 5 años.
    4. Implementar correcciones. Auditoría después de 6 meses.

    Cinco vectores de incidentes que aparecen con mayor frecuencia: el agente olvidó cerrar sesión, integración mal configurada que expone la clave API, bot enviando a un destinatario equivocado, exempleado con acceso al panel, phishing en el administrador de BSP.

    Sanciones

    La ANPD puede aplicar sanciones graduales (art. 52):

    • Advertencia.
    • Multa simple de hasta el 2 por ciento de los ingresos en Brasil, limitada a R$50 millones por infracción.
    • Multa diaria.
    • Publicación de la infracción.
    • Bloqueo o eliminación de datos.
    • Suspensión de la operación de la base de datos.
    • Prohibición de actividades de procesamiento.

    Lista de verificación de cumplimiento de WhatsApp Business según la LGPD

    1. ¿La política de privacidad publicada menciona a WhatsApp como canal?
    2. ¿Base legal definida para cada propósito?
    3. ¿Opt-in de WhatsApp separado de otros consentimientos?
    4. ¿Cada opt-in tiene registro con marca de tiempo, IP, texto y versión de la política?
    5. ¿Cada mensaje de marketing tiene un mecanismo de baja?
    6. ¿La baja se procesa en un plazo de 24 horas?
    7. ¿DPO designado y contacto público?
    8. ¿Política de retención definida con plazo límite por tipo de dato?
    9. ¿Eliminación automática de datos caducados implementada?
    10. ¿Canal documentado para el ejercicio de derechos?
    11. ¿Contrato de encargado del tratamiento firmado con BSP, con cláusulas mínimas?
    12. ¿Plan de respuesta a incidentes documentado y probado?
    13. ¿Programa de formación del equipo sobre la LGPD?
    14. ¿RIPD para el tratamiento de alto riesgo?
    15. ¿Auditoría interna anual de cumplimiento de la LGPD?

    Las empresas que responden sí a las 15 tienen una postura defensiva sólida. Menos de 10 es una exposición material.

    Cómo WhatsAppNow Brasil apoya el cumplimiento de la LGPD

    WhatsAppNow fue diseñado pensando en la LGPD: registro de consentimiento compatible con la LGPD, procesamiento automatizado de bajas, servidores brasileños, contrato de encargado del tratamiento estándar, plan de respuesta a incidentes, soporte de DPO.

    Preguntas frecuentes

    ¿Puedo usar WhatsApp para clientes que ya me dieron su correo electrónico?

    No automáticamente. El consentimiento por correo electrónico es independiente del consentimiento para WhatsApp. Solicite un consentimiento explícito antes de iniciar la comunicación por WhatsApp.

    ¿Qué sucede si recibo una notificación de la ANPD?

    Responder dentro del plazo (normalmente 15 días) con pruebas documentadas. Designar un DPO o un abogado especializado. Si hay una violación real, la autorregulación suele reducir la sanción.

    ¿Puede un cliente solicitar el historial de todo lo que le he enviado?

    Sí. El derecho de acceso permite al cliente solicitar una copia de todos los datos personales procesados. Proporcionar en un plazo de 15 días en formato electrónico estructurado.

    ¿Necesito un DPO si soy una pequeña empresa?

    Sí. La LGPD exige la designación independientemente del tamaño. Para las pequeñas empresas, puede ser un empleado que acumule la función o un DPO externo. El contacto debe publicarse en el sitio.

    ¿Puedo usar datos de WhatsApp para entrenar una IA/chatbot?

    Solo con una base legal específica. El entrenamiento de modelos tiene un propósito diferente y requiere consentimiento específico o interés legítimo con RIPD.

    ¿Qué hacer si un empleado comparte conversaciones de clientes?

    Tratar como incidente de seguridad. Investigar, contener, notificar a la ANPD y a los interesados si es necesario, aplicar medidas disciplinarias, implementar control técnico.

    Próximos pasos

    Realice la lista de verificación de 15 puntos anterior. Empiece por los tres más importantes: opt-in con registro auditable, opt-out automatizado, política de retención. Designe formalmente un DPO y publique el contacto. Revise el contrato de BSP. Capacite al equipo de marketing y soporte. Realice una auditoría interna anual.

    Para una infraestructura técnica compatible con la LGPD, nuestro API de WhatsApp Business para empresas brasileñas ofrece registro de consentimiento, opt-out automatizado, servidores brasileños y contrato estándar.

    Frequently Asked Questions

    How do I choose the right OTP service provider?

    When selecting an OTP SMS service provider, focus on:

    • Delivery reliability and speed
    • Global coverage and local compliance
    • Multi-channel support and fallback
    • Ease of integration
    • Pricing transparency

    The right provider should not just send OTPs but ensure they are delivered consistently across regions and networks.

    Not all OTP SMS service providers are built the same.

    Some optimize for cost, others for flexibility but very few balance delivery reliability, global coverage and ease of use. And that balance is what actually impacts whether your users receive OTPs on time.

    If OTP is critical to your product, focus on:

    • reliable delivery (not just sending)
    • multi-channel fallback
    • scalability across regions

    Try It for Yourself

    Why is multi-channel OTP important?

    Relying only on SMS can lead to failed verifications due to:

    • network issues
    • telecom filtering
    • device limitations

    Multi-channel OTP systems (SMS + WhatsApp + voice) improve success rates by automatically retrying through alternative channels if one fails.

    What is the best OTP SMS service provider in India?

    Some of the commonly used OTP SMS service providers in India include MSG91, Exotel and 2Factor.

    That said, India has additional challenges like DLT compliance and operator filtering. Platforms that handle these internally while also offering fallback options tend to provide more consistent OTP delivery.

    Which is the cheapest OTP service provider?

    Providers like Fast2SMS and 2Factor are often considered among the cheapest OTP service providers, especially in India.

    However, lower pricing can come with trade-offs such as:

    • lower route quality
    • higher delivery delays
    • limited fallback options

    For mission-critical OTP flows, reliability often matters more than just cost.

    Which is the best OTP service provider in 2026?

    The best OTP service provider depends on your use case.

    • For global scale and flexibility: Twilio, Infobip
    • For cost-effective APIs: Plivo
    • For India-focused SMS OTP: MSG91, Exotel

    However, platforms like Message Central stand out by balancing global coverage, multi-channel fallback and ease of deployment, making them suitable for businesses that prioritize delivery reliability.

    What is an OTP service provider?

    An OTP service provider enables businesses to send temporary verification codes to users via channels like SMS, WhatsApp or voice to authenticate logins, transactions or sign-ups.

    Modern OTP SMS service providers go beyond just sending messages, they ensure reliable delivery using optimized routing, retries and sometimes multi-channel fallback.

    ¿Está listo para empezar?

    Crea un embudo de comunicación eficaz con Message Central.

    Request Demo

    Artículos relacionados

    Navegar por todas las publicaciones
    Arrow Right Icon Green
    WhatsApp

    Precios de la API de WhatsApp Business en Brasil 2026: Desglose del costo real por volumen

    9
    minutos leídos
    May 20, 2026
    WhatsApp

    WhatsApp Marketing Brasil 2026: Estrategia, Plantillas y ROI

    10
    minutos leídos
    May 20, 2026
    WhatsApp

    Mejor plataforma de WhatsApp Business para Brasil 2026: 8 BSPs comparados

    11
    minutos leídos
    May 19, 2026
    WhatsApp

    API de WhatsApp Business en Brasil 2026: Guía completa para empresas brasileñas

    8
    minutos leídos
    May 19, 2026

    Boletín semanal directamente en tu bandeja de entrada

    Envelope Icon
    ¡Gracias! ¡Su presentación ha sido recibida!
    ¡Uy! Algo salió mal al enviar el formulario.
    WhatsApp
    WhatsApp
    +17178379132
    phone-callphone-call