Si has montado un chatbot de WhatsApp para atender a clientes, o estás pensando en hacerlo, hay una novedad reciente que te conviene mirar: la Agencia Española de Protección de Datos publicó este año un conjunto de orientaciones sobre inteligencia artificial y chatbots que aclaran lo que se espera de las empresas que los usan. No es una ley nueva — es la lectura oficial del RGPD aplicada a este escenario concreto.
La buena noticia: no cambian las reglas, se ordenan. La mala: muchos chatbots de PYMEs en producción no están cumpliendo cosas que ahora la AEPD considera básicas, y eso expone al negocio a sanciones que en este ámbito empiezan en miles de euros.
Qué ha publicado la AEPD y a quién afecta
A lo largo de 2026 la AEPD ha sacado dos documentos relevantes. Uno son las orientaciones sobre IA agéntica desde la óptica de protección de datos — sistemas que no se limitan a responder, sino que toman decisiones y actúan. El otro es una infografía concreta con recomendaciones para chatbots dirigida tanto a usuarios como a desarrolladores y empresas.
No es una regulación específica, son criterios de interpretación. Pero la AEPD es la autoridad que sanciona en España, y cuando publica orientaciones lo que está diciendo, en la práctica, es: “esto es lo que esperamos ver si venimos a inspeccionar”.
Afecta a cualquier empresa que use chatbots, asistentes virtuales, sistemas de respuesta automática en WhatsApp o email, transcripción de voz por IA o herramientas que generen respuestas con un modelo de lenguaje. Es decir, a casi cualquier PYME que esté automatizando atención al cliente hoy.
Transparencia: el cliente tiene que saber que habla con una máquina
El punto que más se repite en las orientaciones es la transparencia. Una persona que escribe a tu negocio por WhatsApp o por el chat de tu web tiene derecho a saber, desde el primer mensaje, si la respuesta llega de un humano o de un sistema automatizado. Esto no es nuevo — ya estaba implícito en el RGPD — pero la AEPD ha sido explícita al respecto.
En la práctica significa una cosa muy sencilla: el primer mensaje del bot debe presentarse. No hace falta una pantalla legal de aceptar términos cada vez que alguien escribe. Sí hace falta que, antes de empezar a recoger información, la conversación deje claro quién está al otro lado.
Además, la información sobre cómo se tratan los datos — quién es el responsable, para qué se usan, durante cuánto tiempo se conservan, a quién se ceden — tiene que estar accesible desde la conversación, normalmente con un enlace a la política de privacidad.
Minimización de datos: no preguntes lo que no necesites
Otro principio que la AEPD subraya es la minimización. Un chatbot bien diseñado solo pide los datos imprescindibles para resolver lo que el cliente ha venido a hacer. Si alguien pregunta por el horario de tu tienda, no tiene sentido pedirle el DNI ni el teléfono. Si alguien quiere reservar una mesa, basta con nombre, número de comensales y un canal de contacto.
Este principio choca a veces con la tentación de “ya que está aquí, le pregunto todo”. La AEPD recomienda lo contrario: diseñar las conversaciones por escenarios, recoger solo lo necesario en cada uno, y separar lo que es funcional de lo que es marketing.
Cuando el chatbot puede recoger información sensible — datos de salud en una clínica, situación financiera en una gestoría — la recomendación es directa: no la recojas si no es imprescindible, y si lo es, hazlo con consentimiento expreso y con medidas técnicas reforzadas.
La “regla de 2” para sistemas más autónomos
La parte más novedosa de las orientaciones es la dedicada a sistemas que van más allá del chatbot clásico — agentes que pueden tomar decisiones y ejecutar acciones por sí mismos. Aquí la AEPD introduce lo que llama la “regla de 2”: un sistema autónomo nunca debería combinar simultáneamente tres factores de riesgo sin supervisión humana — procesar entradas no confiables (lo que escribe un cliente), acceder a información sensible, y ejecutar acciones autónomas.
En lenguaje normal: si tu sistema lee lo que el cliente escribe, tiene acceso a su ficha completa y puede hacer cobros, reservas o cancelaciones por su cuenta, falta una persona en el bucle. La recomendación no es no automatizar — es decidir en qué punto interviene un humano cuando el caso lo pide.
Para una PYME esto se traduce en cosas concretas: separar el chatbot que conversa del sistema que ejecuta acciones críticas, dejar siempre un canal de escalado humano fácil, y definir qué tipo de decisiones requieren confirmación manual.
Caso práctico: una clínica que revisó su chatbot tras la guía
Una clínica dental pequeña — pongamos un caso ilustrativo, no son cifras reales de un cliente concreto — tenía montado desde 2024 un chatbot de WhatsApp para citas y dudas de pacientes. Tras leer las orientaciones de la AEPD, hicieron tres cambios en una mañana de trabajo:
- Añadieron en el primer mensaje del bot la presentación: “Hola, soy el asistente virtual de Clínica X, te confirmo en un momento y un sanitario te contactará si necesitas valoración personal.”
- Quitaron una pregunta sobre antecedentes médicos que el bot hacía automáticamente al pedir cita, y la dejaron para la consulta presencial.
- Revisaron el contrato con el proveedor del chatbot para asegurarse de que tenían firmado el encargado de tratamiento, y dónde se almacenaban los mensajes.
Coste del cambio: cero euros, una tarde. Beneficio: cumplir con lo que la AEPD pide, y de paso reducir las quejas de pacientes que percibían el primer mensaje como invasivo. La automatización siguió funcionando igual — simplemente mejor encuadrada.
Lo que conviene mirar en tu negocio esta semana
Si tienes un chatbot ya en marcha, hay cinco preguntas rápidas que te conviene contestar:
- ¿El primer mensaje del bot identifica que es un sistema automatizado?
- ¿Hay un enlace o referencia a tu política de privacidad accesible desde la conversación?
- ¿El bot recoge solo los datos imprescindibles para resolver la consulta?
- ¿Tienes firmado el contrato de encargado de tratamiento con el proveedor del modelo (OpenAI, Anthropic, Google, Microsoft, quien sea)?
- ¿Hay un camino fácil para que el cliente pida hablar con una persona?
Si la respuesta a alguna es “no” o “no estoy seguro”, es lo que toca revisar antes de que crezca el volumen y el ajuste sea más caro.
En Rentabilia hacemos un diagnóstico gratuito de procesos automatizables que incluye también una revisión de cumplimiento básica para los chatbots que ya tienes en marcha. No vendemos una auditoría legal — lo que hacemos es señalar dónde está el riesgo y qué se puede cerrar de forma sencilla, y derivamos al asesor cuando hace falta algo más serio.