¿WhatsApp normal es ilegal en un despacho de fincas?

No es exactamente ilegal — la AEPD no ha emitido una prohibición general. Presenta serias dificultades de cumplimiento del RGPD cuando se usa profesionalmente para gestionar datos de cientos de residentes. La posición del despacho ante una inspección AEPD es frágil. Para casos de volumen muy bajo (un despacho con cinco comunidades pequeñas) el riesgo es menor; para despachos con operativa diaria y volumen real, la modalidad WhatsApp Business API con software empresarial encima es la única que cumple sin reservas. Consulta a tu DPO para tu caso concreto.

¿Tener WhatsApp Business app me hace cumplidor?

No automáticamente. La app empresarial gratuita mejora algunos elementos formales pero no resuelve los problemas estructurales: falta de DPA específico, conservación dependiente del móvil, derecho al olvido manual, ausencia de auditoría centralizada.

¿Necesito el consentimiento explícito de cada vecino?

Depende de la base legal. Para gestión de incidencias iniciadas por el vecino, la base habitual es el interés legítimo (Art. 6.1.f) o la ejecución contractual del contrato de administración con su comunidad (Art. 6.1.b) — no requieren consentimiento. Para usos secundarios (marketing, comunicaciones masivas no operativas, recordatorios no incidentales) la base habitual es el consentimiento (Art. 6.1.a) y sí requiere consentimiento explícito documentable.

¿Qué pasa si un vecino me contacta vía WhatsApp sin que yo se lo haya ofrecido?

Recibes datos personales y se inicia un tratamiento. La base legal del tratamiento ulterior debe documentarse (lo habitual es interés legítimo si se relaciona con la gestión de su comunidad). La obligación de informarle del Art. 13 RGPD se mantiene — en la primera respuesta puedes incluir un enlace a tu cláusula informativa.

¿Y los grupos de comunidad de vecinos?

Si el despacho está dentro de un grupo vecino-vecino, suele haber corresponsabilidad del Art. 26 RGPD entre el despacho y la comunidad. Conviene un acuerdo escrito de corresponsabilidad. Si el despacho solo recibe mensajes de vecinos individuales en su número del despacho, el despacho es responsable único.

¿Cuánto tiempo puedo conservar los mensajes?

Solo el necesario para la finalidad documentada. Orientativamente: cierre + 12 a 24 meses para gestión de incidencia y defensa legal, hasta el plazo de prescripción si hay implicaciones legales (en general 5 años para acciones personales, Art. 1964 Código Civil).

¿Qué pasa si Meta cambia los términos del DPA?

Hay que repetir el análisis de proporcionalidad: ¿el nuevo DPA sigue ofreciendo garantías equivalentes? ¿hay que comunicarlo a los interesados? El DPO del despacho lo evalúa y decide.

¿Tengo que registrar las grabaciones de notas de voz de WhatsApp?

Sí. Las notas de voz son tratamiento de datos personales (voz y contenido). Aplican las mismas obligaciones que a los mensajes de texto. Para grabaciones explícitas de llamadas, consulta la guía dedicada de consentimiento AEPD para grabación de llamadas en fincas (próximamente).

WhatsApp y RGPD en Despachos de Fincas: Guía 2026

Aviso. Esta guía es orientativa, no constituye asesoramiento legal. Consulta a tu Delegado de Protección de Datos (DPO) o asesor jurídico para tu caso concreto. Última revisión: 25 de mayo de 2026. Próxima revisión obligatoria: 25 de noviembre de 2026.

El marco legal de partida

Antes de hablar de WhatsApp, conviene fijar las cuatro normas que estructuran cualquier conversación sobre protección de datos en un despacho español.

RGPD (Reglamento UE 2016/679)

El Reglamento General de Protección de Datos es la norma marco. Define quién es responsable, quién es encargado, qué bases legales habilitan un tratamiento, qué derechos tiene el interesado y qué plazos rigen su ejercicio. Para un administrador de fincas, los artículos críticos son el 5 (principios), el 6 (bases legales), el 13 (información al interesado), el 15 (derecho de acceso), el 17 (derecho al olvido), el 28 (encargados del tratamiento), el 30 (registro de actividades), el 32 (seguridad) y el 33 (notificación de brechas).

LOPDGDD (Ley Orgánica 3/2018)

La ley orgánica española que adapta el RGPD al ordenamiento interno. Detalla el régimen de la AEPD, las sanciones, los DPOs obligatorios y algunas particularidades laborales y de menores. No sustituye al RGPD: lo complementa. Cuando una norma española y una europea entran en conflicto aparente, prima la interpretación armonizada con el RGPD.

AEPD: criterio aplicable a mensajería

La Agencia Española de Protección de Datos ha publicado criterio en varias ocasiones sobre el uso de aplicaciones de mensajería en entornos profesionales. La línea ha sido consistente: el uso es posible, pero el responsable del tratamiento sigue siéndolo el profesional, no la app, y debe documentar cómo cumple sus obligaciones a pesar de las limitaciones de la herramienta. Las inspecciones más recientes han incidido en la dificultad de evidenciar consentimiento, conservación limitada y borrado verificable cuando el canal es WhatsApp normal.

Verificación pendiente. Antes de publicar esta guía, el DPO debe revisar las URLs canónicas vigentes de los documentos AEPD que se citan y añadirlas con fecha de consulta. No paráfrasis: cita textual del fragmento relevante donde sea posible.

LPH y privacidad: el deber de comunicación entre vecinos y despacho

La Ley 49/1960 de Propiedad Horizontal reformada obliga al propietario a comunicar al secretario-administrador su domicilio en España a efectos de notificaciones (Art. 9.1.h LPH). Eso da al despacho una base contractual y legal para tratar el dato. Pero la LPH no convierte cualquier canal en automáticamente conforme con el RGPD: si el despacho usa WhatsApp, el cumplimiento RGPD se evalúa por separado y por completo.

Tu rol legal cuando manejas WhatsApp de vecinos

Eres responsable del tratamiento (no encargado)

Si el despacho decide qué se hace con los datos del vecino (responder una incidencia, archivar un mensaje, eliminar una conversación al cerrar una incidencia), el despacho es responsable del tratamiento en términos del Art. 4 RGPD. Esto es así con independencia de si el contrato de administración con la comunidad lo dice o no. No se puede "subcontratar" la responsabilidad al cliente.

La comunidad como responsable conjunto en algunos supuestos

Cuando la comunidad de propietarios mantiene su propio grupo de WhatsApp con un canal con el despacho, la situación cambia: el despacho responde, pero la comunidad — a través de su presidente o de su junta — también está decidiendo finalidades del tratamiento. En esos casos cabe la corresponsabilidad del Art. 26 RGPD, y debería formalizarse por escrito quién hace qué.

Worked example 1 — el despacho como responsable único. Un vecino del bloque "Castellana 200" envía un WhatsApp al número del despacho avisando de una fuga en el cuarto de contadores. El despacho recibe el mensaje, lo clasifica internamente, avisa al fontanero y responde al vecino con la fecha de visita. En este flujo el despacho decide finalidades (gestión de incidencia, conservación para defensa legal, comunicación al gremio) y medios (qué herramienta usa). El despacho es responsable único del tratamiento de los datos de ese vecino. La comunidad no aparece en la cadena.

Worked example 2 — corresponsabilidad despacho-comunidad. La misma comunidad mantiene un grupo de WhatsApp "Castellana 200 - Comunidad" con todos los propietarios. El presidente del bloque ha incluido al despacho en ese grupo. Cuando un vecino escribe en el grupo "tenemos una fuga", el despacho lo lee — pero la finalidad del grupo la decidió la comunidad. Aquí, el despacho y la comunidad son corresponsables del tratamiento dentro de ese canal. La comunidad debería tener un acuerdo de corresponsabilidad del Art. 26 RGPD que distribuya quién informa al residente, quién atiende los derechos del Art. 15 y siguientes, y dónde se documenta la base legal.

Worked example 3 — el despacho como encargado. Si en lugar de gestionar la comunidad, el despacho actuara como mero proveedor de un servicio puntual (p. ej. tramitar una solicitud administrativa concreta por encargo del propietario), podría haber supuestos limitados de encargo del tratamiento. Es excepcional en la administración de fincas estándar y conviene revisarlo con el DPO caso a caso.

Subencargados: Meta, BSPs, Tech Providers

Cuando el despacho usa WhatsApp Business API, Meta es un encargado del tratamiento del despacho y firma un DPA. Si el despacho contrata además un BSP (Business Solution Provider) o un Tech Provider que ofrece software encima de la API, ese proveedor es otro encargado, subencargado de Meta y encargado del despacho, y firma su propio DPA. La cadena debe ser transparente: el residente tiene derecho a saber qué proveedores procesan sus datos (Art. 13.1.e RGPD). Ver la lista pública de subencargados.

WhatsApp normal con vecinos: las cuatro dificultades de cumplimiento

WhatsApp normal — la app que descargas del Play Store sin más — presenta serias dificultades de cumplimiento del RGPD cuando se usa para gestionar comunicaciones con cientos de residentes en un entorno profesional. No es exactamente ilegal: es difícil de defender ante una inspección de la AEPD. Las cuatro dificultades estructurales son las siguientes.

1. No hay DPA empresarial entre tu despacho y Meta

Cuando un usuario instala WhatsApp y acepta los términos, no se firma un Data Processing Agreement empresarial. Meta procesa esos datos bajo sus términos de servicio para consumidores, no bajo un contrato Art. 28 RGPD entre Meta y el despacho. El Art. 28 RGPD exige que el encargado actúe bajo contrato escrito y vinculante que detalle el objeto, duración, finalidad, naturaleza y categorías de datos. Sin ese contrato, el despacho no puede demostrar formalmente que Meta es su encargado, lo que la AEPD interpreta como un incumplimiento del Art. 28.

2. El consentimiento es difícil de documentar

Cuando un vecino escribe al WhatsApp del despacho, está iniciando un contacto pero no está documentando un consentimiento. Si el tratamiento de sus datos se basa en consentimiento (Art. 6.1.a RGPD), el despacho debe poder demostrar que ese consentimiento se dio de forma libre, específica, informada e inequívoca. Una conversación abierta de WhatsApp no satisface ese estándar probatorio.

Existe la base legal del interés legítimo (Art. 6.1.f) o de la ejecución contractual (Art. 6.1.b) que pueden aplicar — pero el análisis de proporcionalidad y la información al interesado siguen siendo obligatorios. No existe ninguna base legal en el RGPD que exima al despacho de informar al vecino de qué datos trata y con qué fines (Art. 13).

3. La conservación es por móvil, no por sistema

El Art. 5.1.e RGPD obliga a conservar los datos personales solo durante el tiempo necesario para los fines del tratamiento. En WhatsApp normal, la conservación efectiva depende del espacio en el móvil, del momento en que se cambia de teléfono, de si hay copia en la nube, de si esa copia se borró. El despacho no tiene control sistemático sobre cuándo y cómo se eliminan los datos, lo que dificulta demostrar el cumplimiento del principio de limitación del plazo de conservación.

4. El derecho al olvido es manual y frágil

Cuando un vecino ejerce el derecho al olvido (Art. 17 RGPD), el despacho debe eliminar sus datos personales — todos — y poder demostrar que lo ha hecho. En WhatsApp normal eso significa borrar manualmente cada mensaje de cada conversación, en cada móvil que lo tenga, en cada copia de seguridad de iCloud o Google Drive. La AEPD ha señalado en varias resoluciones que un borrado parcial o no verificable no equivale al cumplimiento del Art. 17.

WhatsApp Business app (la versión gratis): mejor pero insuficiente

WhatsApp Business app — la versión gratuita para autónomos y pequeñas empresas — añade respecto a WhatsApp normal: catálogo de productos, etiquetas, respuestas rápidas, mensajes de bienvenida automatizados, perfil empresarial con horarios.

Qué resuelve. Algunos elementos formales mejoran. El perfil empresarial visible al residente cumple parcialmente con la información del Art. 13 (qué empresa es, cómo contactar). Las etiquetas y respuestas rápidas facilitan un orden interno mínimo.

Qué sigue siendo problemático. No hay DPA específico Art. 28 — los términos de la app gratuita son los de WhatsApp Business estándar, no un contrato empresarial firmado. La conservación sigue dependiendo del móvil. El derecho al olvido sigue siendo manual. La auditoría centralizada no existe.

El mito a desmontar es "usamos WhatsApp Business, ya cumplimos". No es así. La app empresarial gratuita es una mejora operativa, no una solución de cumplimiento.

WhatsApp Business API: la única modalidad que cumple sin reservas

WhatsApp Business API (también llamada WhatsApp Cloud API o WABA — WhatsApp Business Account) es la modalidad empresarial real. No es una app: es una interfaz programática a la que se conecta un software empresarial.

DPA empresarial directa con Meta para tu WABA

Al crear una WhatsApp Business Account empresarial, Meta firma un DPA específico con el despacho. El DPA detalla las categorías de datos, las finalidades, las medidas de seguridad y las subtransferencias. El Art. 28 RGPD se cumple formalmente.

Webhook firmado HMAC-SHA256: integridad de mensaje

Los mensajes llegan al sistema del despacho a través de un webhook firmado criptográficamente. Esto evita que un tercero falsifique mensajes entrantes y aporta integridad técnica al canal. No es directamente un requisito RGPD, pero contribuye al cumplimiento del Art. 32 (medidas de seguridad técnicas).

Capa de software encima: la cadena de subencargados se documenta

Sobre la API, el despacho conecta un software (un Tech Provider). Ese Tech Provider firma su propio DPA con el despacho como encargado, y el despacho mantiene una página pública de subprocesadores donde aparecen Meta, el Tech Provider y todos los demás (hosting, transactional email, monitorización). La cadena queda documentada y demostrable. Ver subencargados de Incidencias.

Conservación, derecho de acceso y derecho al olvido programáticos

La conservación es una política configurable del sistema, no una propiedad del móvil. La exportación de un Art. 15 RGPD es una consulta automática que devuelve todos los mensajes de un residente en formato estructurado, en horas, no en semanas. El borrado del Art. 17 es una operación atómica, verificable, con registro de auditoría.

Tabla resumen: ¿cumple cada modalidad?

Touchpoint RGPD	WhatsApp normal	WhatsApp Business (app)	WhatsApp Business API + capa software
DPA empresarial con Meta	✗	Limitado (T&Cs estándar)	✓ DPA específico
Consentimiento documentable	Frágil	Manual	✓ programático
Registro de actividades de tratamiento (Art. 30)	Manual, costoso	Manual	✓ audit log automático
Conservación limitada (Art. 5.1.e)	Por móvil	Por móvil	✓ por sistema
Borrado verificable (Art. 17)	Frágil	Manual	✓ programático
Derecho de acceso en 30 días (Art. 15)	Difícil de cumplir	Difícil	✓ exportación automática
Notificación de brecha 72h (Art. 33)	Sin sistema de detección	Limitado	✓ alertas + audit log
Subencargados documentados	✗	✗	✓ tabla pública
Posición ante inspección AEPD	Difícil de defender	Frágil	Sólida

Las seis obligaciones concretas que debes cumplir

1. Información clara al residente (Art. 13 RGPD)

El despacho debe informar al residente — antes o en el primer contacto — de la identidad del responsable, las finalidades del tratamiento, la base legal, los destinatarios y subencargados, el plazo de conservación, y los derechos que tiene. La información debe ser concisa, transparente, inteligible, en lenguaje claro y sencillo, y fácilmente accesible (Art. 12.1).

Acción concreta: publicar una cláusula informativa accesible desde el primer contacto. Si el vecino escribe el WhatsApp del despacho, la respuesta inicial debe contener un enlace breve a esa cláusula (en la firma del despacho, en el mensaje de bienvenida, o en el documento de bienvenida que recibe al firmar el contrato de administración con su comunidad).

2. Base legal: consentimiento explícito o interés legítimo

Para gestionar la incidencia que el vecino ha iniciado por WhatsApp, la base legal más sólida suele ser el interés legítimo (Art. 6.1.f) — el despacho tiene un interés en gestionar la incidencia, el vecino la inició, y la proporcionalidad es clara. Para usos secundarios (notificaciones de cuotas, recordatorios masivos, marketing) la base suele requerir consentimiento explícito del Art. 6.1.a.

Acción concreta: documentar el análisis de proporcionalidad del interés legítimo en el registro de actividades. Para usos secundarios, recabar consentimiento por escrito y conservarlo.

3. Registro de actividades de tratamiento (Art. 30 RGPD)

Todo despacho con más de 250 personas, o que trate datos sensibles, o que realice tratamientos no ocasionales, debe mantener un registro de actividades. La administración de fincas estándar entra en la última categoría: tratamiento no ocasional.

Acción concreta: mantener un registro con al menos: nombre y datos del responsable, finalidades, categorías de interesados y de datos, destinatarios, transferencias internacionales (relevante si Meta procesa fuera de la UE — verificar el DPA), plazos de supresión, descripción general de medidas de seguridad.

4. Conservación limitada y borrado verificable (Art. 5.1.e + Art. 17)

Los datos se conservan solo el tiempo necesario para la finalidad. Cuando la finalidad termina (incidencia resuelta y cerrado el plazo de defensa legal), se borran. El borrado debe ser verificable.

Acción concreta: definir y documentar plazos. Plazo orientativo: incidencia resuelta + 12 a 24 meses para defensa legal y reclamaciones. Plazos más largos solo con justificación específica.

5. Derecho de acceso en plazo razonable (Art. 15)

El residente tiene derecho a obtener una copia de los datos que el despacho trata sobre él, en el plazo de un mes (prorrogable a tres meses en casos complejos, con notificación previa).

Acción concreta: definir un procedimiento. Tener un canal (email, formulario) por donde el vecino solicita el acceso, una persona responsable de gestionarlo, y un mecanismo técnico para extraer los datos. Si el canal es WhatsApp Business API con software encima, la extracción es programática.

6. Notificación de brechas en 72h (Art. 33)

Si hay una brecha de seguridad que afecta a datos personales, hay 72 horas para notificarla a la AEPD (y, según gravedad, a los afectados).

Acción concreta: tener un protocolo escrito de detección y respuesta. Quién detecta, quién comunica, qué se redacta, dónde se notifica.

Modelo de cláusula informativa para vecinos

Estado: plantilla en revisión por DPO. No publicar como descarga sin aprobación expresa.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable del tratamiento: [Nombre del despacho], CIF [XXX],
[dirección postal], [email DPO].

Finalidad: gestión de incidencias y comunicaciones derivadas de la
administración de la comunidad de propietarios donde usted reside,
incluido el canal WhatsApp si lo utiliza para contactarnos.

Base legal: ejecución del contrato de administración con su comunidad
y/o interés legítimo del despacho en la gestión de incidencias.

Destinatarios: Meta Platforms Ireland Ltd. (proveedor de WhatsApp
Business API), [Tech Provider], proveedores de servicios (gremios)
en lo estrictamente necesario para resolver su incidencia.

Conservación: durante la prestación del servicio y posteriormente
por un plazo de [12-24] meses para el ejercicio de defensa legal.

Derechos: acceso, rectificación, supresión, oposición, limitación,
portabilidad. Reclamación ante la AEPD (aepd.es).

Más información: [URL a política de privacidad completa].

La versión final de esta plantilla, una vez aprobada por DPO, se ofrecerá como descarga. Plantilla disponible tras la revisión del DPO (próximamente).

Modelo de DPA con Meta y con tu Tech Provider

Meta DPA empresarial: se acepta al crear la WhatsApp Business Account. Es un contrato de adhesión, no negociable, pero cumple los requisitos del Art. 28 RGPD. Está disponible públicamente en la sección legal de Meta for Business.
Tech Provider DPA: si el despacho conecta un proveedor de software empresarial encima de la API, ese proveedor firma un DPA específico con el despacho como encargado y subencargado de Meta. Debe incluir las cláusulas estándar del Art. 28.4 RGPD, incluida la autorización del subencargo.

Conservación: cuántos meses puedes guardar mensajes de WhatsApp

No hay un plazo legal único. El plazo es el necesario para la finalidad. Las tres referencias prácticas:

Para resolución de la incidencia: hasta resolución + 12 a 24 meses según contrato

El plazo orientativo es 12 a 24 meses tras el cierre de la incidencia, asumiendo que durante ese tiempo el residente o la comunidad podrían reabrir una reclamación relacionada. El despacho debe documentar la elección y poder defenderla.

Para defensa legal: hasta prescripción de la acción correspondiente

Si la incidencia podría derivar en una acción judicial, el plazo de conservación extendida es el de prescripción de la acción correspondiente (en general 5 años para acciones personales, Art. 1964 Código Civil reformado).

Tabla orientativa: tipo de mensaje × plazo razonable

Tipo de mensaje	Plazo orientativo
Aviso simple, sin acción posterior	6 meses tras la conversación
Incidencia resuelta sin reclamación	Cierre + 12 meses
Incidencia con reclamación o disputa	Cierre + 24 meses
Comunicación con relevancia legal (notificación formal, requerimiento)	Plazo de prescripción legal (en general 5 años)
Consentimiento documentado	Mientras dure el tratamiento + 1 año

Estos plazos son orientativos. El despacho debe documentar su elección y poder justificarla. Si el plazo se aplica por defecto del software, el software debe poder demostrar la política activa.

Qué hacer si recibes un Art. 15 RGPD (derecho de acceso) sobre WhatsApp

WhatsApp normal: por qué los 30 días son casi imposibles. La extracción manual de todos los mensajes de un residente, repartidos por hilos individuales y grupos, en uno o varios móviles del despacho, es operativamente inviable en plazo. La AEPD ha aceptado respuestas razonadas que reconocen la limitación, pero la limitación es del despacho, no del residente.

WhatsApp Business app: parcialmente posible, manualmente. El export por chat de WhatsApp permite extraer una conversación en formato .txt con metadatos básicos. Posible para 5 a 10 residentes; inviable para una solicitud que cubra el histórico de un residente que ha estado en grupos durante años.

WhatsApp Business API: exportación programática en horas. Una consulta contra la base de datos del software empresarial devuelve todos los mensajes asociados a un número o a un residente, exportables en JSON o CSV. La operación se completa en horas, no en días.

Qué hacer si recibes un Art. 17 RGPD (derecho al olvido) sobre WhatsApp

Borrado verificable: qué exige la AEPD. El borrado debe ser efectivo y demostrable. No basta con eliminar mensajes visibles; las copias de seguridad, los registros de auditoría, los índices y los caches deben quedar limpios. Si no es posible la eliminación completa, el responsable debe documentar las limitaciones técnicas y aplicar medidas alternativas (anonimización, bloqueo).

Por qué borrar manualmente del móvil no es suficiente. El historial de WhatsApp normal vive simultáneamente en el móvil, en la copia de seguridad de iCloud o Google Drive, posiblemente en una segunda copia exportada en algún momento. Garantizar el borrado completo de las cuatro ubicaciones es operativamente complejo. La AEPD ha sancionado el borrado parcial cuando el responsable no pudo demostrar la eliminación efectiva.

Brecha de seguridad en WhatsApp: qué activa el plazo de 72h

Pérdida del móvil con histórico de incidencias

Si el móvil que contiene el WhatsApp del despacho se pierde sin estar cifrado o sin bloqueo robusto, es una potencial brecha de datos personales y dispara el plazo de notificación de 72h del Art. 33 RGPD (si la brecha implica un riesgo para los derechos y libertades de los afectados).

Acceso no autorizado al WABA

Si un atacante accede a la cuenta empresarial de WhatsApp Business y exfiltra mensajes, también dispara el plazo. La detección depende de la trazabilidad del sistema (audit log, alertas de inicio de sesión inusual).

Filtración accidental por exportación a un destinatario incorrecto

El error humano más común: exportar un chat a un email equivocado, o reenviar un mensaje a un grupo incorrecto. Estos eventos también pueden ser brechas notificables según su gravedad.

Checklist RGPD para WhatsApp en un despacho de fincas

Estado: lista de trabajo. Versión final con maquetación y descarga PDF tras revisión DPO. Plantilla disponible tras la revisión del DPO (próximamente).

¿El despacho tiene una WhatsApp Business Account empresarial (no la app del Play Store)?
¿Existe un DPA firmado con Meta?
¿Existe un DPA firmado con el proveedor de software empresarial (si lo hay)?
¿Hay una página pública de subprocesadores actualizada?
¿Existe una cláusula informativa accesible desde el primer contacto?
¿La base legal del tratamiento está documentada en el registro de actividades?
¿Hay un análisis de proporcionalidad del interés legítimo escrito?
¿El registro de actividades del Art. 30 está actualizado en los últimos 12 meses?
¿La política de conservación está definida y configurada en el sistema?
¿Existe un procedimiento documentado para responder al Art. 15 (acceso) en 30 días?
¿Existe un procedimiento documentado para responder al Art. 17 (olvido)?
¿Existe un protocolo de respuesta a brechas con plazo de 72h?
¿El DPO está designado y notificado a la AEPD (cuando obligatorio)?
¿El equipo del despacho ha recibido formación básica en RGPD?
¿Hay un email DPO público y operativo (dpo@...)?
¿La cláusula informativa ha sido revisada en los últimos 12 meses?
¿La conservación efectiva en el sistema coincide con la política escrita?
¿Las copias de seguridad cumplen los mismos plazos de conservación que el sistema principal?
¿Se documentan los consentimientos para usos secundarios (recordatorios, marketing)?
¿Hay un procedimiento de revisión interna anual del cumplimiento RGPD?

Cómo lo hace Incidencias

Incidencias trabaja sobre WhatsApp Business API empresarial. Eso significa:

DPA empresarial con Meta firmado por el despacho a través del proceso de creación de la WABA.
DPA específico entre Incidencias (subencargado) y el despacho (responsable).
Página pública de subprocesadores con todos los actores de la cadena.
Conservación configurable por defecto en 24 meses, ajustable por contrato.
Exportación automática para Art. 15 y borrado verificable para Art. 17.
Audit log centralizado de cada mensaje entrante y saliente.
Servidores en la UE.

Esto no convierte al despacho en cumplidor automático. El despacho sigue siendo responsable del tratamiento y debe documentar su política, formar a su equipo y mantener el registro de actividades. Lo que Incidencias aporta son las herramientas que hacen el cumplimiento alcanzable.

Para detalles técnicos ver /incidencias/seguridad y /incidencias/integracion/whatsapp-business.