Comunicación · WhatsApp · LFPDPPP

WhatsApp Business API para médicos en México: legalidad y mejores prácticas

WhatsApp es el canal de comunicación más usado en México, y los médicos lo utilizan cotidianamente para enviar indicaciones, resultados y recordatorios a sus pacientes. Sin embargo, el uso no estructurado de WhatsApp expone al médico a violaciones de la LFPDPPP y a la NOM-004. Esta guía diferencia entre WhatsApp personal, WhatsApp Business y la API oficial, y explica cuál puede usarse legalmente para comunicaciones clínicas.

Las tres versiones de WhatsApp y sus implicaciones legales

Versión	Cifrado	Contrato de datos	¿Cumple LFPDPPP?
WhatsApp personal	E2E en tránsito	Términos Meta (no hay DPA)	No recomendado
WhatsApp Business (app)	E2E en tránsito	Términos Meta (no hay DPA)	No recomendado
WhatsApp Business API	E2E en tránsito	DPA con BSP disponible	Posible con configuración correcta

Qué puede enviarse por WhatsApp (y qué no)

La distinción crítica es entre información administrativa y datos clínicos sensibles:

Bajo riesgo

Confirmación de cita
Recordatorio de horario
Indicaciones genéricas post-consulta
Enlace al portal del paciente

Alto riesgo / evitar

Resultados de laboratorio
Diagnósticos o impresiones clínicas
Fotos de heridas o estudios
Recetas con medicamentos controlados

Requisitos para usar WhatsApp Business API legalmente

Si quiere usar la API oficial para enviar instrucciones clínicas por WhatsApp, necesita:

Opt-in explícito del paciente: Debe obtener consentimiento documentado de que el paciente acepta recibir comunicaciones clínicas por WhatsApp. Esto puede integrarse al consentimiento LFPDPPP Art. 9.
Plantillas aprobadas por Meta: Los mensajes proactivos (iniciados por el médico) deben usar plantillas previamente aprobadas. No puede enviar texto libre en mensajes iniciados por usted.
BSP con DPA: Debe contratar el acceso a la API a través de un Business Solution Provider (BSP) autorizado que ofrezca un Acuerdo de Procesamiento de Datos conforme a la LFPDPPP.
Mecanismo de opt-out: Cada mensaje debe incluir instrucciones claras de cómo el paciente puede cancelar las comunicaciones.

Preguntas frecuentes

¿Usar WhatsApp personal para enviar recetas es ilegal?

No es estrictamente ilegal, pero sí viola las mejores prácticas de la LFPDPPP porque los datos de salud del paciente son procesados en servidores de Meta sin contrato de datos firmado, y sin que el paciente haya otorgado consentimiento explícito para esa transferencia a un tercero. En caso de brecha de datos, el médico podría ser responsable.

¿Los grupos de WhatsApp con pacientes son permitidos?

No para comunicaciones clínicas individuales. Un grupo expone los datos (número de teléfono, nombre) de todos los integrantes entre sí sin su consentimiento mutuo, lo que viola el principio de finalidad de la LFPDPPP. Para grupos de psicoeducación o comunidad, obtenga consentimiento explícito de todos los integrantes.

¿Medici usa WhatsApp Business API?

Sí. Medici integra la API oficial con plantillas aprobadas para enviar instrucciones post-consulta, recordatorios de cita y resúmenes de medicación. El opt-in y opt-out están integrados en el flujo de consentimiento del paciente.

WhatsApp legal integrado en cada consulta

Medici envía instrucciones por WhatsApp Business API con consentimiento documentado. Un clic, sin riesgo legal.

Empezar gratis

Recursos relacionados

LFPDPPP en consulta privada: datos de pacientes →Consentimiento informado digital →Medici: comunicación con pacientes integrada →

Este contenido es informativo. Consulte con un asesor legal o de cumplimiento certificado antes de aplicar cambios a su práctica médica.

WhatsApp Business API para médicos en México: legalidad y mejores prácticas

Versión

Cifrado

Contrato de datos

¿Cumple LFPDPPP?

WhatsApp personal

E2E en tránsito

Términos Meta (no hay DPA)

No recomendado

WhatsApp Business (app)

E2E en tránsito

Términos Meta (no hay DPA)

No recomendado

WhatsApp Business API

E2E en tránsito

DPA con BSP disponible

Posible con configuración correcta

Qué puede enviarse por WhatsApp (y qué no)

La distinción crítica es entre información administrativa y datos clínicos sensibles:

Bajo riesgo

Confirmación de cita
Recordatorio de horario
Indicaciones genéricas post-consulta
Enlace al portal del paciente

Alto riesgo / evitar

Resultados de laboratorio
Diagnósticos o impresiones clínicas
Fotos de heridas o estudios
Recetas con medicamentos controlados

Requisitos para usar WhatsApp Business API legalmente

Si quiere usar la API oficial para enviar instrucciones clínicas por WhatsApp, necesita:

Opt-in explícito del paciente: Debe obtener consentimiento documentado de que el paciente acepta recibir comunicaciones clínicas por WhatsApp. Esto puede integrarse al consentimiento LFPDPPP Art. 9.

Plantillas aprobadas por Meta: Los mensajes proactivos (iniciados por el médico) deben usar plantillas previamente aprobadas. No puede enviar texto libre en mensajes iniciados por usted.

BSP con DPA: Debe contratar el acceso a la API a través de un Business Solution Provider (BSP) autorizado que ofrezca un Acuerdo de Procesamiento de Datos conforme a la LFPDPPP.

Mecanismo de opt-out: Cada mensaje debe incluir instrucciones claras de cómo el paciente puede cancelar las comunicaciones.

Preguntas frecuentes

¿Usar WhatsApp personal para enviar recetas es ilegal?

¿Los grupos de WhatsApp con pacientes son permitidos?

¿Medici usa WhatsApp Business API?

WhatsApp legal integrado en cada consulta

Medici envía instrucciones por WhatsApp Business API con consentimiento documentado. Un clic, sin riesgo legal.

Empezar gratis

Este contenido es informativo. Consulte con un asesor legal o de cumplimiento certificado antes de aplicar cambios a su práctica médica.