Hay tres capas de cumplimiento al usar WhatsApp Business en LATAM, y conviene entenderlas como capas separadas que se suman: las políticas de Meta (globales, las define la plataforma), la ley de protección de datos de tu país (local, la define el regulador) y el estándar del sector (no escrito, lo define la costumbre y el sentido común). Este post las recorre en lenguaje práctico, sin ánimo de reemplazar al asesor legal pero sí de orientar al responsable de operación.
La razón por la que el compliance importa no es solo legal. Una operación que no cumple termina con la cuenta limitada o bloqueada por Meta, con denuncias del regulador local, o con clientes que reportan spam y dañan la marca. Cualquiera de las tres consecuencias detiene el negocio. El compliance bien hecho es lo que permite escalar; el mal hecho es lo que rompe la escala apenas se intenta.
Capa 1 — Políticas de Meta (globales)
Las reglas de Meta están publicadas en la política comercial de WhatsApp Business y en sus políticas de mensajería. Lo que importa operativamente:
Plantillas HSM aprobadas para mensajes fuera de la ventana de 24 horas. Iniciar conversación con un cliente requiere plantilla aprobada. Sin plantilla, no se puede contactar primero. El detalle de cómo redactarlas y cómo se aprueban está en plantillas oficiales de WhatsApp Business.
Opt-in explícito antes del primer mensaje. Meta es claro: el cliente debe haber aceptado recibir comunicaciones por WhatsApp antes de que la empresa inicie contacto. El opt-in puede capturarse en el sitio web, en proceso de compra, en mostrador físico, en formulario de registro. Pero debe existir y ser recuperable.
Prohibición de comprar bases de datos. Cualquier envío a contactos sin opt-in es violación directa. Meta penaliza con limitación o bloqueo cuando detecta el patrón — y lo detecta rápido porque el ratio de opt-out es desproporcionado.
Sin envíos masivos sin segmentación. Mandar el mismo mensaje a 5.000 contactos sin diferenciación es señal de spam para Meta. La segmentación reduce opt-out, mejora calidad de la cuenta y permite escalar.
Mecanismos de opt-out claros. El cliente debe poder dejar de recibir mensajes en cualquier momento, con instrucción explícita. "Responde NO para no recibir más mensajes" es estándar. El opt-out debe procesarse de inmediato.
Categorías de plantilla respetadas. Marketing no se disfraza de Utility. Cada plantilla declara su intención real. Las consecuencias de mezclarlas se cubren en el post de plantillas.
Capa 2 — Leyes de protección de datos por país
Cada país LATAM tiene su marco. La tabla resume los puntos críticos. No reemplaza la consulta a un asesor legal local, pero orienta sobre qué revisar primero.
| País | Ley clave | Autoridad | Punto crítico operativo | | --------- | -------------------------------------------------------------------------------------------------------------- | ---------------------------------------- | ------------------------------------------------------ | | Ecuador | LOPDP | Superintendencia de Protección de Datos | Consentimiento informado y retención limitada. | | Colombia | Ley 1581 (Habeas Data) | Superintendencia de Industria y Comercio | Registro Nacional de Bases de Datos. | | Chile | Ley 19.628 | Consejo para la Transparencia | Consentimiento explícito y derecho ARCO. | | Perú | Ley 29733 | ANPD (MINJUSDH) | Inscripción de base ante la ANPD. | | México | LFPDPPP | INAI | Aviso de privacidad obligatorio. | | Argentina | Ley 25.326 | AAIP | Inscripción en el Registro Nacional de Bases de Datos. |
Tres principios comunes que aparecen en casi todas las legislaciones:
Consentimiento. El cliente debe dar autorización explícita para que sus datos se usen con la finalidad declarada. El consentimiento debe ser informado: el cliente sabe qué va a recibir, con qué frecuencia, de qué empresa.
Finalidad limitada. Los datos recolectados con un propósito (cobranza) no pueden usarse para otro (marketing) sin nuevo consentimiento.
Derecho ARCO (Acceso, Rectificación, Cancelación, Oposición). El cliente puede pedir ver qué datos tienes sobre él, corregirlos, eliminarlos o oponerse a su uso. La empresa debe responder en plazos definidos por cada ley.
Retención limitada. Los datos no se guardan eternamente. Cada ley fija plazos máximos según finalidad.
Capa 3 — Estándar del sector
No está en ninguna ley, pero todo regulador y todo cliente espera que se cumpla.
Horarios hábiles. Sin mensajes de cobranza a las 22:00. La convención típica en LATAM es entre 8:00 y 20:00 hora local del cliente. Algunas operaciones son más conservadoras (9:00 a 19:00).
Sin mensajes en feriados nacionales. Cobrar el 25 de diciembre genera reportes de spam y pésima percepción de marca. Cada país tiene su calendario; el agente lo respeta.
Máximo de contactos por cliente por mes. El estándar habitual es 2-3 mensajes por mes por cliente, salvo que el cliente responda y se mantenga conversación abierta. Más allá, se siente acoso.
Idioma claro y sin lenguaje agresivo. Cobranza profesional no usa amenazas, no insinúa consecuencias legales sin base, no presiona emocionalmente. El tono adecuado es firme pero respetuoso.
Identificación clara del remitente. El cliente debe saber qué empresa le escribe. Sin identificación al inicio del mensaje, la sensación es de spam y el reporte aparece rápido.
Pausa después de promesa. Si el cliente promete pagar el viernes, no se le insiste el miércoles. Se respeta el plazo y se retoma si no entró el pago.
Cómo Pacunex aplica las tres capas
La operación del agente IA respeta las tres capas por diseño.
Capa 1 (Meta). Plantillas HSM aprobadas antes del lanzamiento. Opt-in registrado por cada contacto con cómo y cuándo. Opt-out automático con respuesta a palabras clave. Segmentación obligatoria — el agente no manda el mismo mensaje a toda la base.
Capa 2 (ley local). Las reglas específicas del país (Colombia, Chile, Ecuador, México, etc.) se configuran al inicio del proyecto. El cliente decide su política de retención. Las solicitudes ARCO se procesan con flujo definido.
Capa 3 (sector). Horarios y feriados configurados por país y respetados sin excepción. Límite de contactos por cliente por mes. Tono ajustado al perfil. Pausa automática después de promesas.
El equipo legal del cliente revisa la configuración antes del lanzamiento. Para casos complejos (operación multi-país, sector regulado), se ajusta caso por caso.
Errores comunes que llevan a bloqueo
Bases compradas. La causa número uno. Meta detecta el patrón en días. La cuenta queda limitada o bloqueada antes de mandar 1.000 mensajes.
Mensaje genérico a todos los clientes sin diferenciar. Si la base entera recibe el mismo texto el mismo día a la misma hora, el ratio de opt-out se dispara y Meta marca la cuenta.
Mensajes a las 21:30 o domingos. El cliente reporta como spam, y Meta penaliza con caídas de calidad de plantilla.
Plantillas con lenguaje promocional clasificadas como Utility por error. Cuando Meta reclasifica, la cuenta queda con plantillas que ya no se pueden usar como antes.
Ignorar el opt-out. Si un cliente escribió "no me contacten más" y vuelve a recibir mensaje a la semana, va a reportar y la cuenta acumula señales negativas.
Falta de respuesta a solicitudes ARCO. Si un cliente pide eliminar sus datos y la empresa no responde, el cliente puede denunciar al regulador local. Las sanciones por país varían pero son significativas.
Cómo medir compliance
Cuatro métricas que toda operación seria revisa al menos semanalmente.
Tasa de opt-out por campaña. Si supera 2-3%, hay un problema de mensaje, segmento o horario. Pausar y revisar.
Reportes de spam recibidos por la cuenta. Meta los reporta en el Business Manager. Cualquier alza requiere análisis inmediato.
Tasa de rechazo de plantillas. Si las plantillas nuevas se rechazan repetidamente, hay que revisar políticas actualizadas de Meta o reescribir con mejor patrón.
Calidad de la cuenta WhatsApp Business. Meta puntúa la cuenta como Alta, Media o Baja. La caída a Media o Baja es alerta temprana de problema serio.
Qué hacer si la cuenta se limita
Identificar la causa. Meta suele indicar el motivo en la notificación. Las causas típicas son: opt-out alto, contenido reportado, plantilla degradada.
Pausar la operación afectada. No insistir con la misma plantilla o la misma campaña. Eso solo empeora la situación.
Comunicarse con el BSP. El proveedor de WhatsApp Business API (proveedor oficial autorizado) tiene canal directo con Meta y puede acelerar la resolución.
Ajustar y reanudar gradualmente. Una vez identificada y corregida la causa, reanudar con volumen bajo y subir progresivamente.
Documentación interna recomendada
Toda operación seria de WhatsApp Business debería tener cuatro documentos internos accesibles al equipo y al regulador si hace falta.
Política de privacidad publicada. Documento que detalla qué datos se recolectan, con qué finalidad, cuánto se conservan, con quién se comparten, cómo ejercer derechos ARCO. Debe ser accesible desde el sitio web público de la empresa.
Registro de bases de datos. Inscripción de la base ante el regulador local cuando corresponde (Colombia, Perú, Argentina lo exigen). El registro detalla finalidad, encargados de tratamiento, medidas de seguridad.
Procedimiento de respuesta a solicitudes ARCO. Cómo responde la empresa cuando un cliente pide acceso, rectificación, cancelación u oposición. Quién es responsable, en qué plazo, con qué evidencia se cierra el caso.
Registro de consentimientos. Base donde, por cada contacto, se guarda cómo y cuándo dio opt-in. Si llega requerimiento, debe ser recuperable en minutos por contacto.
Sin estos cuatro documentos, ante un requerimiento del regulador, la empresa improvisa. Con ellos, responde con tranquilidad.
Próximos pasos
Si vas a montar tu primera operación seria de WhatsApp Business, conversemos por WhatsApp. Te compartimos la lista exacta de qué revisar antes de lanzar, con foco en tu país. Para los aspectos prácticos de evitar bloqueos en campañas, conviene también revisar cómo evitar bloqueos en campañas masivas de WhatsApp y, si tu operación es de cobranza, cómo automatizar cobranza por WhatsApp.