14 aprile 2026 · Dott. Pietro Cravero

GDPR e WhatsApp Business: Come Usarlo a Norma nel 2026

WhatsApp Business è uno strumento potente per comunicare con i clienti: rapido, immediato, tasso di lettura vicino al 100%. Ma è anche un concentrato di criticità GDPR che molte PMI ignorano. Dal consenso all'informativa, dal marketing diretto al trasferimento dati verso gli USA, ci sono aspetti da gestire per usarlo legittimamente.

In questa guida ti spiego come usare WhatsApp Business rispettando il GDPR, quali sono gli adempimenti da predisporre e quali sono gli errori più comuni da evitare.

WhatsApp Business e i dati personali

Quando usi WhatsApp Business per comunicare con i clienti, tratti dati personali su più livelli: il numero di telefono del cliente, i contenuti dei messaggi scambiati (che possono includere dati sensibili in ambiti come la sanità o i servizi legali), eventuali foto, documenti, posizioni geografiche condivise, la rubrica contatti sincronizzata con l'app.

Meta (la società proprietaria di WhatsApp) è inoltre Titolare autonomo per i metadati della comunicazione, e i dati transitano attraverso server che possono trovarsi anche fuori dall'Unione Europea. Questo apre il tema dei trasferimenti internazionali di dati.

Base giuridica e informativa

Quando un cliente ti scrive per primo su WhatsApp o ti lascia il numero per essere ricontattato, la base giuridica del trattamento è in genere l'esecuzione di un contratto o misure precontrattuali (art. 6, comma 1, lettera b) o il legittimo interesse se si tratta di risposta a una richiesta commerciale.

Ma l'interessato deve essere informato: anche via WhatsApp devi fornire (o rendere accessibile) un'informativa privacy che includa il trattamento via WhatsApp. Nella pratica, la prima risposta al cliente può contenere un link alla privacy policy del sito o all'informativa specifica: "Le informazioni su come trattiamo i tuoi dati sono disponibili qui: [link]."

Marketing e invio massivo di messaggi

Qui le cose si complicano. L'invio di messaggi promozionali via WhatsApp (offerte, sconti, novità, newsletter) rientra nel marketing diretto e richiede il consenso specifico dell'interessato, separato da qualsiasi altro consenso.

Le regole operative:

• Il consenso deve essere raccolto prima di iniziare ad inviare messaggi promozionali
• Deve essere documentabile (modulo web, casella flaggata su un form fisico con firma, opt-in via messaggio iniziale)
• Il cliente deve poter revocare il consenso in qualsiasi momento (tipicamente inviando "STOP" o "CANCELLAMI")
• Non si può assumere che chi ti lascia il numero per una questione di assistenza abbia anche acconsentito al marketing
• Le liste broadcast massive usate per marketing senza consenso specifico sono una violazione diretta

Il soft spam su WhatsApp

L'eccezione del soft spam (art. 130, comma 4, Codice Privacy) permette di inviare comunicazioni promozionali su prodotti o servizi analoghi a chi ha già effettuato un acquisto, senza consenso specifico, purché l'interessato abbia la possibilità di rifiutare ad ogni comunicazione.

La posizione attuale del Garante è che il soft spam si applica tradizionalmente all'email. L'estensione a WhatsApp è controversa: per prudenza, è preferibile raccogliere il consenso esplicito anche per WhatsApp.

Chat di gruppo e broadcast list

Le chat di gruppo e le liste broadcast hanno implicazioni privacy diverse:

• Gruppo WhatsApp: tutti i partecipanti vedono il numero di telefono degli altri. Se aggiungi clienti a un gruppo senza il loro consenso specifico, stai comunicando i loro numeri agli altri partecipanti. Violazione.
• Lista broadcast: tecnicamente i destinatari non vedono gli altri. Ma il messaggio arriva a chi ha salvato il tuo numero: se il cliente non ha salvato il tuo contatto, non riceve nulla. Soluzione tecnica ma non risolve il tema del consenso al marketing.

WhatsApp Business API e ruolo di Meta

Se usi WhatsApp Business tramite Meta Business API per gestire grandi volumi (spesso attraverso piattaforme come Twilio, MessageBird, Zenvia), Meta diventa Responsabile del trattamento ex art. 28 per conto della tua organizzazione (relativamente a quei messaggi). Serve un contratto conforme all'art. 28 che regoli il trattamento.

Per l'app WhatsApp Business standard (quella gratuita scaricabile da Play Store/App Store), il quadro è più complesso: Meta agisce come Titolare autonomo per molti aspetti e come fornitore tecnico per altri. La posizione giuridica non è interamente chiara, il che aggiunge un elemento di rischio.

Conservazione dei messaggi

Le chat WhatsApp vanno conservate secondo il principio di limitazione della conservazione: solo per il tempo necessario alle finalità. Per comunicazioni di assistenza clienti, qualche mese può essere sufficiente. Per comunicazioni legate a contratti, si applicano i termini di conservazione contrattuale (tipicamente 10 anni per le ragioni fiscali). Non è corretto conservare indefinitamente tutte le chat.

Trasferimento dati extra UE

I dati di WhatsApp transitano per server Meta che possono essere negli USA. Dopo l'invalidazione del Privacy Shield e con il nuovo Data Privacy Framework (DPF) del 2023, i trasferimenti sono nuovamente regolati, ma il tema resta sensibile. Meta aderisce al DPF, il che fornisce una base giuridica per i trasferimenti, ma è un aspetto da menzionare nell'informativa.

Uso di WhatsApp in sanità o settori delicati

Per studi medici, cliniche, avvocati, la cautela è massima. Scambiare referti, diagnosi, documenti legali via WhatsApp comporta rischi elevati: dati sensibili su canale di cui non controlli interamente la catena di custodia, rischio di invio errato al destinatario sbagliato, mancanza di garanzie documentate sulla cifratura end-to-end in contesti professionali.

La soluzione più prudente in questi settori: usare WhatsApp solo per comunicazioni di coordinamento (conferme appuntamenti, avvisi) e mai per dati sanitari, referti, documenti riservati, che vanno trasmessi via canali più controllati (portale web dedicato, PEC).

Checklist per usare WhatsApp Business a norma

• Privacy policy aggiornata che cita WhatsApp come canale di comunicazione
• Informativa WhatsApp specifica da inviare o linkare al primo contatto
• Consenso esplicito e documentato per l'invio di messaggi marketing
• Meccanismo di opt-out chiaro ("Invia STOP per non ricevere più messaggi")
• Nessun uso di gruppi WhatsApp con clienti senza consenso specifico
• Conservazione delle chat limitata nel tempo
• Cautela massima in settori con dati sensibili
• Formazione del personale sull'uso corretto di WhatsApp Business
• Procedura per cancellare chat alla richiesta dell'interessato