Cumplimiento

RGPD agencias inmobiliarias España 2026

RGPD para agencias inmobiliarias 2026: captación, cesión de datos, fotos viviendas, CRM compartido, sanciones AEPD típicas y cumplimiento sectorial.

TD
Dr. Thiébaut Devergranne
3 de junio de 20265 min read

En una frase. Las agencias inmobiliarias españolas tratan datos de propietarios, compradores e inquilinos con tres focos de riesgo principales (cesión sin información, fotos identificables y CRM compartido en MLS) y sanciones AEPD típicas entre 5.000 EUR y 30.000 EUR.

Puntos clave

  • 140 expedientes AEPD a inmobiliarias en 2024-2025.
  • Sanción media: 9.000 EUR. Máxima al sector: 80.000 EUR (red franquicia).
  • Cesión de datos sin información (art. 13 RGPD): infracción más sancionada.
  • MLS y portales (Idealista, Fotocasa, Habitaclia): contratos y bases revisables.
  • Fotos del inmueble: NO confundir con datos personales del propietario.

1. Datos tratados por una inmobiliaria

Categoría Origen Base jurídica
Propietario vendedor Captación Contrato (mandato)
Comprador interesado Visitas Interés legítimo o contrato
Inquilino futuro Alquiler Contrato y obligación legal
Solvencia económica Nóminas, bancos Interés legítimo + información
Documentos jurídicos Notaría, registro Obligación legal
Imágenes inmuebles Producción propia Si identificables: consentimiento

2. Captación de inmuebles: información necesaria

Al captar un inmueble en exclusiva o multi-listing, el propietario debe recibir información clara sobre:

  • Finalidad: comercialización, publicación, gestión de visitas.
  • Cesión a colaboradores en MLS si aplica.
  • Publicación en portales (Idealista, Fotocasa, Habitaclia, Pisos.com).
  • Tratamiento de datos por compradores potenciales.
  • Plazo de conservación tras venta.

Omisión = sanción típica 5.000-15.000 EUR.

3. MLS y compartición entre agencias

Las MLS (Multiple Listing Service) implican cesión de datos del propietario a una red de agencias. Requisitos:

  • Información expresa al propietario sobre la red y los participantes.
  • Contrato art. 26 RGPD (corresponsables) o art. 28 (encargado) según modelo.
  • Capacidad de retirar el inmueble en cualquier momento.
  • Seguridad en el sistema MLS (ENS o equivalente).

4. Portales inmobiliarios: rol jurídico

Idealista, Fotocasa, Habitaclia actúan como:

  • Encargado del tratamiento de la agencia que publica.
  • Responsable del registro de usuarios buscadores.
  • Corresponsable en algunas funcionalidades de contacto.

Las agencias deben firmar las condiciones específicas de protección de datos de cada portal.

5. Fotografías de inmuebles

Las fotos del inmueble en sí mismo NO son datos personales. Pero pueden incluirlos involuntariamente:

  • Familias o personas reconocibles en interiores.
  • Coches con matrícula visible en exteriores.
  • Vecinos identificables en zonas comunes.
  • Pertenencias personales identificativas (fotos, documentos).

Antes de publicar: anonimizar lo identificable. Sanciones típicas: 3.000-15.000 EUR.

6. Visitas y CRM de compradores

Los datos del comprador potencial son tratados bajo:

  • Interés legítimo si interés activo y limitado en el tiempo.
  • Consentimiento si suscripción a alertas o newsletter.

Buenas prácticas:

  • Formulario de visita con información sobre tratamiento.
  • Plazo de conservación máximo 12-24 meses tras último contacto.
  • Eliminación o pseudonimización tras venta.
  • Casillas separadas para tratamiento operativo y marketing.

7. Verificación de solvencia

La agencia o el arrendador verifican solvencia mediante:

  • Nóminas y vida laboral.
  • Recibos bancarios.
  • Consulta de morosidad (Asnef, Badexcug) con base jurídica débil.
  • Endeudamiento total.

La consulta a Asnef por arrendamiento es controvertida. La AEPD ha matizado: requiere consentimiento expreso del candidato y proporcionalidad. Sanciones típicas: 5.000-20.000 EUR por consulta sin base.

8. Datos de inquilinos en relación arrendaticia

Durante la relación:

  • Base jurídica: contrato + obligación legal.
  • Conservación: durante el contrato + plazos prescripción (5 años civil).
  • Cesión a comunidad de propietarios si la administra la agencia: contrato art. 28.

Tras el fin del contrato: eliminar o pseudonimizar, salvo conservación necesaria para acciones judiciales pendientes.

9. Marketing inmobiliario

Email y SMS a base de leads: requiere consentimiento informado en captación. Inscripción en Lista Robinson para llamadas. La compra de listas de propietarios es casi siempre infracción.

Casos sancionados:

  • 30.000 EUR a inmobiliaria por SMS masivos a base sin origen claro.
  • 15.000 EUR por publicidad postal a base comprada.
  • 12.000 EUR por email a interesados de hace 5 años sin re-confirmar.

10. Cesión a terceros: notarías, gestorías, financieras

La cesión a:

  • Notaría: obligación legal (compraventa).
  • Gestoría hipotecaria: contrato.
  • Banco para financiación: consentimiento del cliente.
  • Tasadora: encargado del banco normalmente.
  • Aseguradora hogar: cliente decide.

Información clara al cliente sobre todas las cesiones en momento de captación.

11. CCTV en oficinas

Si la oficina tiene cámaras:

  • Cartel modelo AEPD.
  • Conservación máxima 30 días.
  • No grabar empleados sin información laboral.
  • No grabar conversaciones (audio prohibido salvo casos excepcionales).

12. Brechas de seguridad

Sector con alto riesgo de brechas por uso de pendrives, intercambio de archivos por email, CRMs compartidos. Procedimiento estándar:

  1. Identificación.
  2. Análisis del alcance.
  3. Notificación AEPD en 72h.
  4. Comunicación a afectados si alto riesgo.
  5. Documentación.

13. Cómo cumplir RGPD en inmobiliaria

  • Registro de actividades por servicio (captación, venta, alquiler, gestión).
  • Información de tratamiento en hoja de captación y formularios web.
  • Contratos art. 28 con CRM, portales, MLS, gestoría.
  • Política específica sobre cesión a colaboradores.
  • Procedimiento ARCO con respuesta 30 días.
  • Política de retención: 12-24 meses tras último contacto.
  • Formación al equipo comercial sobre prospección legal.
  • Auditoría RGPD anual.

FAQ

¿La inmobiliaria puede ceder mis datos a otras agencias?

Solo con información expresa en el momento de captación. La cesión en MLS o redes de colaboradores debe estar comunicada.

¿Pueden poner fotos de mi casa en internet?

Sí del inmueble (objeto), pero deben anonimizar elementos personales reconocibles (caras, matrículas, pertenencias).

¿Pueden consultar Asnef antes de alquilarme un piso?

Solo con consentimiento expreso del solicitante y proporcionalidad. La AEPD ha matizado los requisitos.

¿Cuánto tiempo guardan mis datos tras una visita?

Recomendado máximo 12-24 meses tras último contacto. Después: eliminación o pseudonimización salvo otra base jurídica vigente.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →