RGPD en reclutamiento por mensajería: datos de candidatos, opt-in y conformidad
¿WhatsApp en reclutamiento? Solo con una base legal sólida. Esta guía explica los requisitos del RGPD para la mensajería en el proceso de selección: consentimiento vs. interés legítimo, regla de eliminación a los 6 meses, conformidad y acuerdo de procesamiento de datos.
TL;DR
Quien contacta a candidatos por WhatsApp, SMS u otros canales de mensajería necesita una base sólida bajo el RGPD. Tres bases legales son relevantes en el contexto del reclutamiento: Consentimiento (Art. 6(1)(a)) para campañas del banco de talentos y mensajes de outreach proactivos, medidas precontractuales (Art. 6(1)(b)) para comunicación en el proceso de solicitud en curso y interés legítimo (Art. 6(1)(f)) para casos estrictamente delimitados. A esto se añaden la regla de los 6 meses según las leyes de igualdad de trato, la obligación de comunicación no discriminatoria y un acuerdo de procesamiento de datos con su proveedor de mensajería. Esta guía explica todos los requisitos: de forma práctica y sin jerga jurídica. Volver al clúster: Mensajería en reclutamiento: la guía completa 2026.
Nota: Esta guía ofrece una visión general orientada a la práctica y no sustituye al asesoramiento legal. Para preguntas específicas de cumplimiento recomendamos consultar a un delegado de protección de datos o abogado especializado.
3 bases legales para la mensajería en reclutamiento
El RGPD solo permite el procesamiento de datos personales si se da una de las bases legales mencionadas en el Art. 6. En la mensajería de reclutamiento son relevantes tres bases:
| Base legal | Cuándo aplicable | Ejemplo en reclutamiento |
|---|---|---|
| Art. 6(1)(a): Consentimiento | El candidato ha dado su consentimiento expreso y voluntario. Revocación posible en cualquier momento. | Incorporación al banco de talentos, difusión de WhatsApp para nuevos puestos, campaña de outreach proactiva |
| Art. 6(1)(b): Medidas precontractuales | El procesamiento de datos es necesario para la ejecución de medidas precontractuales realizadas a solicitud del interesado. | Actualizaciones de estado en el proceso de solicitud en curso, coordinación de entrevistas, recordatorios de citas |
| Art. 6(1)(f): Interés legítimo | Interés legítimo del responsable que no prevalece sobre los intereses del interesado. Requiere una evaluación de intereses (LIA). | Estrictamente delimitado: p.ej. contacto único para un puesto claramente adecuado cuando ya existe contacto en contexto profesional |
¿Qué base legal para qué caso de uso?
Proceso de solicitud en curso (Art. 6(1)(b)): Una vez que un candidato ha enviado una solicitud, la comunicación posterior en el marco del proceso (actualizaciones de estado, invitaciones a entrevistas, rechazos) está cubierta por medidas precontractuales. No se requiere opt-in adicional, pero: el consentimiento para el canal (WhatsApp) debe existir por separado. La base legal del RGPD permite el procesamiento, no el canal en sí.
Banco de talentos y campañas (Art. 6(1)(a)): Para el contacto proactivo tras el fin del proceso de solicitud (es decir, para la reactivación del banco de talentos, nuevas ofertas de empleo, mensajes de employer branding) siempre se requiere consentimiento expreso. El interés legítimo generalmente no es suficiente aquí, ya que las expectativas del candidato tras un rechazo ya no están orientadas a nuevo contacto.
Sourcing proactivo (Art. 6(1)(f), con precaución): Para el primer contacto directo a través de canales de mensajería, el interés legítimo solo es aplicable en límites muy estrechos. Requiere una evaluación de intereses documentada. En caso de duda: obtener opt-in en lugar de basarse en el interés legítimo.
Conservación de datos de candidatos: la regla de los 6 meses
La regla de eliminación más importante en el derecho de reclutamiento europeo no proviene directamente del RGPD, sino de las leyes de igualdad de trato. Las reclamaciones por discriminación en la contratación prescriben típicamente en un plazo corto tras la notificación del rechazo. La prescripción general de 3 años también se aplica aquí.
En la práctica se ha establecido un período de conservación de 6 meses tras la conclusión del proceso de solicitud como compromiso entre la protección contra reclamaciones de igualdad de trato y la minimización de datos del RGPD. Muchas autoridades de protección de datos recomiendan expresamente este período.
| Estado del candidato | Período de conservación | Base legal |
|---|---|---|
| Proceso de solicitud activo | Hasta el fin del proceso + 6 meses | Art. 6(1)(b) + plazo de reclamación de igualdad |
| Candidato rechazado sin opt-in | 6 meses tras el rechazo, luego eliminar | Leyes de igualdad de trato |
| Banco de talentos con opt-in activo | Hasta la revocación del consentimiento, máx. 2–3 años (renovación periódica recomendada) | Art. 6(1)(a) RGPD |
| Documentos de contratación (contrato firmado) | Duración de la relación laboral + 10 años | Derecho fiscal / mercantil |
Implementación práctica: configure en su ATS reglas de eliminación o anonimización automatizadas que se activen tras el vencimiento de los plazos. En SendSeven puede etiquetar a los candidatos con una etiqueta como fecha-eliminacion:2026-10-01 y activar recordatorios automatizados a través de webhooks, Zapier o Make.com. La responsabilidad de la eliminación recae en el responsable, es decir, en usted, no en el proveedor de mensajería.
Doble opt-in para banco de talentos y campañas
El procedimiento de doble opt-in es el estándar de facto para el marketing por email, aunque para WhatsApp y SMS no está explícitamente prescrito por ley. Sin embargo, lo recomendamos por una razón sencilla: proporciona la prueba más segura de un consentimiento válido.

Proceso del doble opt-in
- Primera solicitud: el candidato rellena un formulario (por ejemplo, "Me gustaría recibir información sobre puestos adecuados por WhatsApp") o hace clic en un enlace de opt-in en un email.
- Mensaje de confirmación: el candidato recibe un mensaje de WhatsApp: "Por favor confirme su consentimiento respondiendo a este mensaje o haciendo clic en: [enlace]."
- Confirmación: el candidato responde o hace clic. El consentimiento se activa y se almacena con marca de tiempo, canal y texto de consentimiento.
Qué debe contener la documentación
Según el Art. 7(1) RGPD, la carga de la prueba recae en el responsable. Los siguientes datos deben almacenarse por opt-in:
- Fecha y hora del consentimiento
- Canal (WhatsApp, SMS, email)
- Texto exacto del consentimiento al que el candidato dio su acuerdo
- Dirección IP u otras características de identificación (en opt-in basado en web)
- Indicación de la posibilidad de revocación
SendSeven almacena estos metadatos automáticamente por contacto en el perfil de contacto. Puede exportarlos en cualquier momento como prueba.
Revocación y opt-out
La revocación debe ser tan sencilla como el consentimiento (Art. 7(3) RGPD). Para WhatsApp: añada al final de cada mensaje de difusión una indicación clara de opt-out: "¿Sin más mensajes? Responda con STOP." SendSeven procesa automáticamente los mensajes de STOP y elimina al contacto de la lista de difusión activa.
Conformidad antidiscriminación en mensajes automatizados
Las leyes de igualdad de trato también se aplican a la comunicación de reclutamiento automatizada. Quien utiliza un chatbot de IA o campañas automatizadas debe asegurarse de que los sistemas no reproduzcan patrones discriminatorios.
Criterios prohibidos según las leyes de igualdad de trato
Los mensajes automatizados y las lógicas de selección no pueden basarse en los siguientes atributos:
- Edad: sin exclusión de candidatos por encima o por debajo de cierta edad en segmentos de campaña
- Género: sin formulaciones de puestos específicas de género en plantillas
- Origen / nacionalidad: sin filtrado por país de origen al hacer contacto
- Religión o creencias
- Discapacidad
- Identidad sexual
Reglas prácticas para las plantillas de mensajería
- Sin filtros de edad en las segmentaciones de campaña (por ejemplo, sin campaña solo para candidatos menores de 35)
- Tratamiento de género neutro en las plantillas de WhatsApp: "Hola [Nombre]" en lugar de formulaciones con género
- Versiones de plantilla uniformes para todos los grupos objetivo. Sin variante "senior" separada con contenidos diferentes
- Documentación de la lógica de selección: ¿por qué se contacta a ciertos candidatos y a otros no? Los criterios deben ser conformes a las leyes de igualdad y rastreables.
Cuando la IA selecciona: derecho a revisión humana
Si su sistema hace sugerencias basadas en IA para la selección de candidatos (por ejemplo, "estos 50 candidatos del banco de talentos encajan mejor"), se aplica el Art. 22 RGPD si estas sugerencias conducen directamente a contactos. En ese caso una persona debe tomar la decisión final. No el sistema. Documente la revisión en su proceso.
Acuerdo de procesamiento de datos con el proveedor de mensajería
Quien hace procesar datos personales por un proveedor externo necesita un acuerdo de procesamiento de datos según el Art. 28 RGPD. Esto se aplica a cualquier proveedor de mensajería que toque datos de candidatos.
Qué debe contener un acuerdo de procesamiento de datos
- Objeto y duración del procesamiento
- Naturaleza y finalidad del procesamiento
- Tipo de datos personales (por ejemplo, nombre, número de teléfono, historial de conversación)
- Categorías de personas afectadas (por ejemplo, solicitantes, miembros del banco de talentos)
- Obligaciones y derechos del responsable
- Medidas técnicas y organizativas (TOM)
- Subencargados del tratamiento con obligación de aprobación
- Obligaciones de eliminación y devolución tras el fin del contrato
SendSeven como encargado del tratamiento
SendSeven procesa datos de candidatos exclusivamente en su nombre y según sus instrucciones. El acuerdo de procesamiento de datos está incluido de forma estándar en el contrato. Puntos centrales:
- Ubicación del servidor: UE (Fráncfort / Google Cloud)
- Cifrado de datos: en reposo y en tránsito
- Subencargados: lista de todos los subencargados disponible bajo solicitud
- Eliminación: eliminación completa de datos bajo solicitud o tras el fin del contrato
Lista de verificación de 10 puntos: mensajería de reclutamiento conforme al RGPD

- Base legal documentada: para cada tipo de comunicación (proceso en curso, banco de talentos, outreach) la base legal aplicable está establecida y documentada.
- Opt-in obtenido en la solicitud: el formulario de solicitud contiene una opción de consentimiento voluntaria y no premarcada para canales de mensajería.
- Opt-in ofrecido al rechazar: el email de rechazo contiene una oferta opcional de incorporación al banco de talentos con elección de canal.
- Doble opt-in para WhatsApp y SMS: los consentimientos se verifican mediante un mensaje de confirmación y se almacenan con marca de tiempo.
- Plazos de eliminación implementados: los candidatos rechazados sin opt-in se eliminan o anonimizan 6 meses después del rechazo.
- Opt-out en cada mensaje de campaña: cada mensaje de difusión contiene una indicación clara de STOP. Las respuestas de STOP se procesan automáticamente.
- Política de privacidad actualizada: su política de privacidad menciona los canales de mensajería, el propósito del procesamiento y el período de conservación para datos de candidatos.
- Plantillas conformes con la igualdad de trato: todas las plantillas de mensajes automatizados han sido verificadas en cuanto a criterios discriminatorios. El tratamiento de género neutro es el estándar.
- Acuerdo de procesamiento de datos firmado: con SendSeven (y otros proveedores si corresponde) existe un acuerdo de procesamiento de datos completo y actualizado.
- Solicitudes de acceso y eliminación procesadas: su equipo sabe cómo responder a solicitudes de acceso según el Art. 15 RGPD y solicitudes de eliminación según el Art. 17 RGPD, incluyendo facilitar los historiales de chat bajo solicitud.
Conclusión
La mensajería de reclutamiento conforme al RGPD no es un obstáculo burocrático: es la base de una relación de confianza con los candidatos. Quien comunica de forma transparente, documenta los consentimientos de forma limpia y cumple los plazos de eliminación no solo tiene menos riesgo de cumplimiento. También construye una marca empleadora que es creíble para los candidatos.
La implementación técnica con SendSeven es manejable: formularios de opt-in, confirmación doble por mensajería, procesamiento automático de opt-out e historiales completos de conversación por contacto en la bandeja de entrada unificada están integrados. La lista de verificación de 10 puntos anterior le da un punto de entrada para la próxima revisión interna de cumplimiento.
Artículos relacionados del clúster de reclutamiento:
- Reactivar el banco de candidatos: recuperar candidatos inactivos
- Chatbot de IA en reclutamiento: automatizar FAQ de candidatos
- Mensajería en reclutamiento: la guía completa 2026
Preguntas frecuentes
¿Necesito un acuerdo de procesamiento de datos para cada contacto de WhatsApp en reclutamiento?
Necesita un acuerdo de procesamiento de datos con el proveedor que envía los mensajes de WhatsApp, es decir, con SendSeven. No con cada candidato individual. El acuerdo regula la relación entre usted (responsable) y SendSeven (encargado del tratamiento). Con los candidatos, regula el procesamiento de datos a través de la política de privacidad y el consentimiento.
¿Puedo contactar directamente a candidatos de LinkedIn por WhatsApp?
Básicamente no sin consentimiento. El contacto por WhatsApp requiere que tenga el número móvil del candidato y que haya dado su consentimiento para el contacto a través de este canal. Si tiene el número de un contexto profesional (por ejemplo, tarjeta de visita en una feria), el interés legítimo es concebible en límites muy estrechos, pero requiere una evaluación de intereses documentada (Legitimate Interest Assessment, LIA).
¿Qué pasa si un candidato revoca su consentimiento?
Debe cesar inmediatamente la comunicación posterior a través del canal afectado. Esto se aplica a WhatsApp, SMS y todos los demás canales de mensajería. Un consentimiento basado en el Art. 6(1)(a) queda completamente anulado. Los datos recopilados hasta entonces sobre esta base deben eliminarse, salvo que exista otra base legal.
¿Es el plazo de 6 meses tras el rechazo obligatorio o recomendado?
No es una obligación legal en el sentido literal, pero es el estándar recomendado por la mayoría de las autoridades europeas de protección de datos y una práctica bien establecida para la protección contra reclamaciones de igualdad de trato. Los plazos más cortos son posibles si no ve riesgo de discriminación, lo que debe justificarse con una evaluación de riesgo interna. Los plazos más largos sin opt-in son legalmente problemáticos.
¿Necesito un delegado de protección de datos para la mensajería de reclutamiento?
Depende del tamaño de la empresa y del alcance del procesamiento de datos. Si procesa regularmente datos personales de más de 20 personas, un delegado de protección de datos interno puede ser obligatorio según el RGPD Art. 37. Para las agencias de selección que procesan profesionalmente datos de candidatos, ese es generalmente el caso.
Recursos adicionales
- SendSeven para Reclutamiento y Selección de Personal
- Glosario: Ghosting de candidatos
- Guía: Configurar la API de WhatsApp Business