Volver al blog
Guías·12 min de lectura·

RGPD para Inmobiliarias en España: Cómo Tratar Datos de Leads Legalmente

El RGPD no te prohíbe contactar leads por WhatsApp ni construir una base de datos de contactos: te obliga a hacerlo con una base jurídica clara, informando al lead de qué haces con sus datos y borrándolos cuando ya no tienen sentido. La mayoría de las inmobiliarias que tienen un problema real no lo tienen por captar demasiado agresivamente, sino por no documentar nada de lo anterior. Este artículo es una guía práctica, no un tratado legal ni un sustituto del asesoramiento de un abogado especializado en protección de datos: para tu caso concreto, especialmente si ya has recibido un requerimiento de la AEPD, consulta con uno.

Por qué esto no es un tema solo para agencias grandes

Hay una idea instalada en el sector de que el RGPD es cosa de bancos, aseguradoras y grandes tecnológicas, y que una inmobiliaria de tres agentes en una capital de provincia no está en el radar de nadie. Es parcialmente cierto: la Agencia Española de Protección de Datos no va puerta por puerta inspeccionando agencias. Pero la forma en que sí llegan la mayoría de los expedientes contra inmobiliarias es mucho más mundana: una denuncia de un particular. Un lead que sigue recibiendo WhatsApps meses después de decir «no me interesa», un exinquilino cuyos datos siguen en el sistema tres años después de acabar el contrato, un propietario que descubre que su teléfono se compartió con otra agencia sin avisarle.

Ese origen importa porque cambia el riesgo real. No es «¿me va a caer una inspección aleatoria?», es «¿tengo algún lead o cliente lo bastante molesto como para poner una reclamación?». En un negocio que vive de gestionar cientos de contactos al mes, con seguimientos automáticos y mensajes recurrentes, la probabilidad de que aparezca ese caso no es despreciable.

El otro motivo por el que importa: WhatsApp es, de lejos, el canal de contacto dominante en el sector inmobiliario español, y es también donde es más fácil cometer errores de protección de datos porque parece «informal». Un email tiene una plantilla, un pie de firma, quizá un enlace a la política de privacidad. Un WhatsApp lo escribes en dos segundos desde el móvil, y ahí es donde se cuela el fallo.

Base jurídica: por qué no todo se resuelve con «pido consentimiento»

El error más extendido es pensar que el RGPD funciona con un único interruptor: consentimiento sí o consentimiento no. En realidad el reglamento contempla varias bases jurídicas legítimas para tratar datos personales, y para una inmobiliaria las que importan de verdad son tres.

Ejecución de un contrato o medidas precontractuales

Cuando un lead te pide información sobre un piso concreto, agenda una visita o inicia una negociación, estás tratando sus datos para dar respuesta a algo que él mismo ha solicitado: eso encaja en «medidas precontractuales a petición del interesado» (artículo 6.1.b RGPD). No necesitas pedirle un consentimiento aparte para responderle por el mismo canal por el que te escribió y sobre el inmueble por el que preguntó. Si te escribe por WhatsApp preguntando por un piso de Idealista, contestarle por WhatsApp sobre ese piso es exactamente lo que él esperaba que pasara.

Interés legítimo

Esta es la base que más se malinterpreta. El interés legítimo te permite, por ejemplo, hacer un seguimiento razonable a un lead que no ha respondido, o informarle de un piso similar al que preguntó si el que buscaba ya se vendió. La clave es que tiene que superar un test de ponderación: tu interés comercial no puede pesar más que las expectativas razonables del lead ni que su derecho a no ser molestado. Un seguimiento a los tres días de una visita que no se concretó, razonable. Mensajes semanales durante ocho meses a alguien que nunca contestó nada, difícil de defender como interés legítimo.

Consentimiento

El consentimiento explícito es necesario para lo que va más allá de gestionar la consulta concreta: newsletters con novedades del mercado, ofertas de propiedades no relacionadas con lo que preguntó, comunicaciones comerciales generales, o compartir sus datos con terceros (otra agencia, un banco para la hipoteca, un notario, salvo que sea estrictamente necesario para la operación en curso). Ese consentimiento tiene que ser específico, informado, inequívoco y tan fácil de retirar como de dar. Una casilla premarcada no vale. Un «si sigues escribiéndome doy por hecho que aceptas» tampoco vale.

En la práctica, la mayoría de las agencias mezclan las tres sin darse cuenta y sin documentar cuál usan en cada caso. La consecuencia no es una multa automática, es que si algún día tienes que justificar por qué le escribiste a alguien, no tienes nada que enseñar.

WhatsApp y consentimiento: lo que de verdad necesitas para contactar por ahí

La pregunta que más recibo de agentes es literalmente esa: «¿necesito que el lead firme algo para escribirle por WhatsApp?». La respuesta corta es no, no necesitas una firma, pero sí necesitas que el contacto por WhatsApp esté justificado por alguna de las tres bases anteriores y que el lead sepa que ese es un canal por el que le vas a escribir.

Hay una diferencia importante entre dos escenarios que se confunden constantemente:

  • El lead te escribe primero por WhatsApp (desde un anuncio de portal, tu web o tu perfil de Instagram). Aquí el propio lead ha iniciado el contacto por ese canal: puedes responder por WhatsApp sin pedir permiso adicional, porque es exactamente el canal que él eligió.
  • Tú tienes su teléfono por otra vía (un formulario web, una visita presencial, una recomendación) y decides escribirle por WhatsApp aunque él no te haya escrito por ahí primero. Aquí sí conviene haber informado, en el momento de recoger el teléfono, de que WhatsApp es uno de los canales por los que le vas a contactar.

La forma más limpia de resolver esto es incluirlo en el propio formulario de captación o en el primer mensaje automático: «Al enviar este formulario aceptas que te contactemos por teléfono, email o WhatsApp para darte información sobre esta y otras propiedades similares», con enlace a la política de privacidad. Es una frase, no un trámite. Si usas plantillas de WhatsApp para el primer contacto, es buen sitio para incluir una línea breve del tipo «gestionamos tus datos según nuestra política de privacidad, disponible en el enlace» en el mensaje de bienvenida, sin que parezca un contrato.

Un matiz que se pasa por alto: la ventana de 24 horas de WhatsApp Business API para responder libremente y las plantillas aprobadas por Meta fuera de esa ventana son una cuestión técnica de Meta, no resuelven el RGPD. Puedes cumplir perfectamente la política de mensajería de Meta y seguir sin tener base jurídica para ese mensaje; son dos capas distintas. Si usas WhatsApp Business API para automatizar respuestas, la automatización no te exime de nada: al contrario, como escribes menos mensajes «a mano», es más fácil que un fallo de configuración le escriba a alguien que no debía, así que merece revisión periódica.

El deber de información: qué tiene que saber el lead cuando te da sus datos

El artículo 13 del RGPD obliga a informar al interesado, en el momento en que recoges sus datos, de una serie de cosas mínimas. No hace falta un texto legal de tres páginas, pero sí que estén disponibles y accesibles estos puntos:

  • Quién es el responsable del tratamiento (tu agencia, con NIF y datos de contacto).
  • Para qué vas a usar sus datos (gestionar su consulta, hacer seguimiento, ofrecerle propiedades similares).
  • La base jurídica de cada uso (contrato, interés legítimo o consentimiento).
  • Cuánto tiempo vas a conservarlos.
  • Si vas a compartirlos con terceros (otra agencia colaboradora, un banco, un notario) y con quién.
  • Que tiene derecho a acceder, rectificar, suprimir, oponerse o limitar el tratamiento, y cómo ejercerlo.
  • Que puede reclamar ante la AEPD si considera que sus derechos no se respetan.

En la práctica esto se resuelve con una política de privacidad publicada en tu web (accesible desde el formulario de contacto y desde el footer) y una capa informativa breve en el punto de captación: un aviso corto en el formulario, una línea en el primer mensaje automático del chatbot, un cartel visible si captas datos en el propio piso durante una visita o en un stand de feria inmobiliaria. La política larga vive en la web, el aviso corto vive donde se recoge el dato.

Un caso que se olvida con frecuencia: los datos del propietario. Cuando publicas un piso en Idealista o Fotocasa con el teléfono del propietario visible, o cuando gestionas sus datos para las visitas, el propietario también es un interesado con los mismos derechos que un lead comprador. Muchas agencias tienen impecable la privacidad de cara al comprador y cero documentación sobre cómo tratan al propietario.

Cuánto tiempo puedes conservar los datos de un lead

El RGPD no da un plazo fijo universal («guarda los datos dos años y ya»). Da un principio: conserva los datos solo el tiempo necesario para la finalidad para la que los recogiste, más el tiempo que exijan otras obligaciones legales (fiscales, contables), que en España suele llegar hasta seis años para la documentación relacionada con una operación una vez cerrada.

En la práctica, para una inmobiliaria conviene distinguir tres situaciones:

Lead que nunca avanzó

Preguntó por un piso, no hubo visita, no hubo respuesta a los seguimientos. Aquí no hay una regla legal exacta, pero un criterio defendible y razonable suele ser algo así: si tras 12 a 24 meses sin ninguna interacción no ha habido actividad y ya no tiene sentido comercial mantenerlo activo, hay que plantearse borrarlo o anonimizarlo, salvo que tengas una base específica (un consentimiento vigente para newsletter, por ejemplo) que justifique conservarlo más tiempo.

Lead que se convirtió en cliente (compró o alquiló)

Aquí entran las obligaciones fiscales y contables, que en España pueden extender la conservación de la documentación de la operación varios años (habitualmente ligados a los plazos de prescripción fiscal). Pero eso aplica a los documentos de la operación, no necesariamente a que sigas teniendo permiso para mandarle ofertas comerciales indefinidamente: son dos cosas distintas y conviene no mezclarlas.

Lead que pidió expresamente ser eliminado

Aquí no hay margen de interpretación: si ejerce su derecho de supresión y no tienes una base legal que te obligue a conservar algo puntual (por ejemplo, un contrato ya firmado con obligaciones fiscales), tienes que borrarlo, y hacerlo en un plazo razonable, generalmente entendido como un mes.

Lo que casi nadie hace, y es lo que de verdad te protege, es documentar el criterio por escrito: una política interna corta que diga «los leads sin actividad se revisan cada X meses y se archivan o eliminan según tal criterio». No hace falta perfección, hace falta que exista un criterio y que se aplique de forma consistente. Si gestionas un volumen alto de leads, hacerlo manualmente es donde más se rompe: conviene que el propio CRM marque o archive automáticamente los leads inactivos según ese criterio, en lugar de depender de que alguien se acuerde de revisar una hoja de cálculo.

Los errores que de verdad exponen a sanciones

De los expedientes públicos de la AEPD relacionados con el sector inmobiliario y de los casos que se comentan en el gremio, hay un patrón bastante repetido. No suelen ser fallos sofisticados, son descuidos operativos.

Seguir contactando después de un «no» explícito

Es el error número uno. Un lead dice «no me interesa, no me escribas más» y sigue recibiendo mensajes de seguimiento automático dos semanas después porque nadie lo marcó como perdido en el sistema. Esto no es solo un problema de RGPD, es de las quejas más frecuentes que generan denuncias, porque el lead lo vive como acoso comercial.

Compartir el teléfono de un lead con otra agencia sin avisar

Pasa en operaciones colaborativas entre agencias (comisión compartida) o cuando se deriva un lead a un colaborador externo (gestor hipotecario, notario, otra inmobiliaria de la red). Si no informaste al lead de que sus datos podían compartirse con terceros para gestionar su operación, ese traspaso no tiene cobertura.

Bases de datos «heredadas» sin trazabilidad

Listados de contactos comprados, importados de un CRM anterior o heredados de un compañero que se fue, donde nadie sabe ya con qué base jurídica se recogió cada contacto ni si dio consentimiento para algo. Cuando se importa un CSV de miles de contactos sin depurar, ese problema se multiplica.

Sin política de privacidad, o una copiada de otra empresa

Es sorprendentemente común: una política de privacidad genérica descargada de internet, con el nombre de otra empresa sin cambiar, o directamente inexistente en la web. Es de las cosas más fáciles de detectar desde fuera y de las más fáciles de arreglar.

No tener un procedimiento para ejercer derechos

Un lead pide por escrito que se le informe de qué datos tienes sobre él, o que se los borres, y nadie en la agencia sabe qué hacer con ese correo. Se ignora, o se responde tarde, y esa demora en sí misma agrava cualquier reclamación posterior.

Ninguno de estos cinco errores requiere un gran presupuesto legal para solucionarse. Requieren decidir un criterio, escribirlo, y que el sistema que usas para gestionar leads lo respete de forma consistente en lugar de depender de la memoria de cada agente.

Encargados de tratamiento: tu CRM, WhatsApp, los portales

Un matiz que genera confusión: cuando usas un CRM, una herramienta de WhatsApp Business o un portal como Idealista para gestionar tus leads, tu agencia sigue siendo la responsable del tratamiento. El proveedor de la herramienta actúa como encargado del tratamiento, es decir, trata los datos por tu cuenta y siguiendo tus instrucciones, pero la responsabilidad frente al lead y frente a la AEPD sigue siendo tuya.

Eso significa dos cosas prácticas. Primero, tienes que tener un contrato de encargado de tratamiento (artículo 28 RGPD) con cada proveedor que trate datos de tus leads en tu nombre: el CRM que uses, la plataforma de WhatsApp Business, el servicio de email marketing. Cualquier proveedor serio del sector te lo ofrece firmado o disponible para descargar, y si no lo tiene, es una señal de alarma sobre esa herramienta, no un detalle menor. Un CRM inmobiliario pensado para el mercado español debería tener esto resuelto de fábrica, no como algo que tienes que perseguir por email.

Segundo, importa dónde están alojados los datos. Servidores dentro de la Unión Europea simplifican mucho las cosas; si un proveedor aloja fuera del Espacio Económico Europeo, necesita mecanismos adicionales (cláusulas contractuales tipo, decisión de adecuación) para que esa transferencia sea legal. No es motivo de pánico, pero sí algo que preguntar antes de contratar una herramienta, especialmente si maneja el canal de WhatsApp completo de la agencia.

Qué hacer si un lead ejerce sus derechos

Cuando un lead o un antiguo cliente te escribe pidiendo acceder a sus datos, que se los borres, que dejes de usarlos para marketing o que corrijas algo mal registrado, tienes en general un mes para responder (ampliable en casos complejos, avisando de la ampliación). No hace falta un departamento legal para gestionar esto en una agencia pequeña, hace falta un proceso simple:

  • Identificar quién en la agencia recibe y gestiona estas solicitudes, aunque sea la misma persona que lleva administración.
  • Verificar la identidad de quien solicita, para no dar datos de un lead a otra persona.
  • Si es supresión: borrar de verdad, incluyendo el CRM, las hojas de cálculo paralelas y cualquier lista de difusión de WhatsApp o email donde estuviera.
  • Si es oposición al marketing: dejar de contactarle comercialmente, aunque conserves los datos de la operación cerrada por obligación fiscal.
  • Dejar constancia por escrito de que se atendió y cuándo, por si algún día hay que demostrarlo.

El punto que más agencias fallan es el de «las hojas de cálculo paralelas»: el CRM oficial se depura, pero el Excel que un agente tenía en su portátil con «sus» leads sigue teniendo el contacto. Cuantos más sitios distintos donde vivan los datos de un mismo lead, más difícil es cumplir de verdad cuando alguien pide que se le borre.

Una checklist práctica para empezar hoy

Si tuvieras que dedicarle una tarde a poner esto en orden sin llamar todavía a un abogado, este es un orden razonable de prioridades:

  • Revisa que tu web tenga una política de privacidad real, específica de tu agencia, no una plantilla genérica sin editar.
  • Añade una línea de información breve en el formulario de captación y en el primer mensaje automático de WhatsApp o del chatbot de captación, con enlace a la política completa.
  • Define un criterio de conservación por escrito (leads sin actividad, clientes cerrados, propietarios) y asegúrate de que tu CRM lo puede aplicar de forma sistemática, no manual.
  • Revisa que cuando un lead dice «no» o «no me interesa», el sistema realmente detiene el seguimiento automático, no solo lo marca visualmente.
  • Pide (o verifica que ya tienes) el contrato de encargado de tratamiento de cada proveedor que toca datos de tus leads: CRM, WhatsApp, email marketing.
  • Designa a una persona responsable de atender solicitudes de derechos, aunque sea a tiempo parcial.
  • Audita dónde más viven los datos fuera del sistema principal: Excel personales, notas del móvil, listas de difusión sueltas de WhatsApp.

Nada de esto elimina el riesgo por completo, ningún negocio que trata datos personales a diario está en riesgo cero. Pero sí es la diferencia entre una agencia que, si recibe una reclamación, puede enseñar un criterio documentado y aplicado, y otra que tiene que reconstruir de memoria qué pasó con los datos de una persona hace ocho meses. Esa diferencia es la que la AEPD valora al decidir si algo fue un descuido puntual corregible o un patrón sistemático.

Preguntas frecuentes

¿Necesito el consentimiento explícito del lead para escribirle por WhatsApp?
No siempre. Si el lead te escribió primero por WhatsApp, puedes responderle por ese mismo canal sin pedir permiso adicional, porque él lo eligió. Si tienes su teléfono por otra vía (formulario web, visita presencial) y quieres contactarle tú primero por WhatsApp, conviene haberle informado en el momento de recoger el dato de que ese es uno de los canales que usarás, normalmente con una línea en el formulario de captación, no con una firma aparte.
¿Puedo guardar el teléfono de un lead que me llegó de Idealista sin que me haya escrito directamente?
Sí, si el lead solicitó información sobre un inmueble concreto a través del portal, ese dato se recoge para gestionar su consulta, lo que encaja como medida precontractual a petición del interesado. Debes informarle de quién eres, para qué usarás sus datos y durante cuánto tiempo, algo que suele resolverse con la política de privacidad de tu web y un aviso breve en el primer contacto.
¿Cuánto tiempo puedo conservar los datos de un lead que no compró ni alquiló?
No hay un plazo legal fijo universal, el criterio del RGPD es conservar los datos solo mientras tengan una finalidad. En la práctica, un criterio razonable y defendible es revisar y archivar o eliminar los leads sin ninguna interacción durante 12 a 24 meses, salvo que tengas una base específica, como un consentimiento vigente para newsletter, que justifique conservarlos más tiempo. Lo importante es tener el criterio por escrito y aplicarlo de forma consistente.
¿Qué pasa si un lead me pide que borre sus datos?
Tienes que atender la solicitud en un plazo generalmente de un mes, verificando primero la identidad de quien la pide. Debes borrar el dato de todos los sitios donde viva, el CRM, hojas de cálculo paralelas y listas de difusión de WhatsApp o email, no solo del sistema principal. Si existe una obligación fiscal o contable que exija conservar documentación de una operación ya cerrada, esa parte puede mantenerse, pero deja de poder usarse con fines comerciales.
¿El CRM que uso convierte a mi inmobiliaria en responsable o encargado del tratamiento?
Tu agencia sigue siendo la responsable del tratamiento frente al lead y frente a la AEPD. El proveedor del CRM, de WhatsApp Business o de email marketing actúa como encargado, tratando los datos por tu cuenta según tus instrucciones. Por eso necesitas un contrato de encargado de tratamiento con cada proveedor que toque datos de tus leads, algo que cualquier herramienta seria del sector debería ofrecerte sin que tengas que reclamarlo.
¿Cuánto puede costar una sanción de la AEPD a una inmobiliaria pequeña?
Depende mucho de la gravedad y de si hay reincidencia, pero la AEPD suele graduar las sanciones a pequeñas empresas de forma muy distinta a las multas millonarias que salen en prensa sobre grandes tecnológicas. Muchos expedientes contra negocios pequeños se resuelven con apercibimiento o multas moderadas cuando hay voluntad de corregir el fallo, especialmente si es la primera incidencia y no hay un patrón sistemático de incumplimiento.

¿Listo para dejar de perder leads?

Prueba Remmit gratis durante 14 dias. Cancela cuando quieras.

Empieza gratis