← Todos los artículos
·5 min de lectura

RGPD para inmobiliarias: qué datos puedes guardar y por cuánto tiempo

Guía práctica de cumplimiento del Reglamento General de Protección de Datos para agencias inmobiliarias y propietarios. Plazos, derechos y sanciones.

Ilustración del artículo: RGPD para inmobiliarias: qué datos puedes guardar y por cuánto tiempo

El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos afectan a cualquier inmobiliaria o propietario particular que recoja datos de candidatos a inquilinos. El desconocimiento no exime, y las sanciones de la AEPD por incumplimiento pueden ser graves.

Esta guía cubre los puntos prácticos de cumplimiento que toda inmobiliaria debería conocer en 2026.

Marco legal aplicable

El cumplimiento de protección de datos en inmobiliaria se rige por:

  1. Reglamento (UE) 2016/679 (RGPD): aplicable directamente
  2. Ley Orgánica 3/2018 (LOPDGDD): adaptación española
  3. Resoluciones de la AEPD: criterios interpretativos
  4. Guías sectoriales publicadas por la AEPD para inmobiliarias

Qué datos puedes pedir y bajo qué base legal

Plazos de conservación de datos del candidato según tipo de información

Datos básicos del candidato

Bajo interés legítimo (art. 6.1.f RGPD) puedes pedir:

  • Identidad: nombre, apellidos, NIF/NIE, fecha de nacimiento
  • Contacto: teléfono, email, dirección actual
  • Económicos: nómina, vida laboral, declaración renta
  • Profesionales: contrato laboral, certificados de empleo
  • Familiares: composición del hogar (para evaluar adecuación de la vivienda)

Datos NO necesarios

Pedir estos datos viola el principio de minimización y puede ser sancionado:

  • Religión o creencias
  • Orientación sexual
  • Origen racial o étnico
  • Datos de salud (salvo justificación específica)
  • Antecedentes penales (salvo casos justificados con base legal específica)
  • Datos genéticos o biométricos

Cuándo SÍ necesitas consentimiento expreso

  • Comunicaciones de marketing (publicidad de otras viviendas)
  • Cesión de datos a terceros (aseguradora, central de morosos)
  • Tratamiento de datos sensibles (en casos justificados)
  • Decisiones automatizadas sin intervención humana (scoring de IA)

Plazos de conservación por tipo de dato

| Tipo de dato | Plazo de conservación | |---|---| | Candidato no seleccionado | Hasta decisión (máx. 30 días) | | Candidato seleccionado, contrato firmado | Durante contrato + 4 años (prescripción) | | Documentos del contrato | 6 años (Ley General Tributaria) | | Justificantes de pago | 5 años (LAU) | | Datos de marketing | Hasta retirada del consentimiento | | Comunicaciones | 2 años desde última interacción | | Documentos del seguro de impago | Durante póliza + 5 años |

Importante: pasado el plazo, debes borrar los datos activamente. No basta con "no usarlos".

Derechos del candidato (los 8 derechos ARCO+)

1. Acceso

El candidato puede pedir copia de todos los datos que tienes sobre él. Plazo de respuesta: 30 días.

2. Rectificación

Si los datos son incorrectos o incompletos, el candidato puede pedir su corrección. Plazo: 30 días.

3. Supresión ("derecho al olvido")

El candidato puede pedir el borrado de sus datos cuando:

  • Ya no son necesarios para la finalidad
  • Retira su consentimiento (si esa era la base legal)
  • Hay una decisión de no contratar

Plazo: 30 días.

4. Limitación del tratamiento

Si hay disputa sobre la exactitud de los datos, el candidato puede pedir que solo se conserven (no se usen) hasta resolver.

5. Portabilidad

El candidato puede pedir sus datos en formato estructurado para llevarlos a otro responsable (otra inmobiliaria).

6. Oposición

A tratamientos basados en interés legítimo, el candidato puede oponerse. Debes demostrar interés legítimo superior o cesar el tratamiento.

7. No ser objeto de decisiones automatizadas

Si usas IA para decidir si firmar (scoring crediticio automático), el candidato puede pedir revisión humana.

8. Información

Antes de recoger datos, debes informar de qué vas a hacer con ellos (cláusula informativa).

Documentos obligatorios del responsable

Toda inmobiliaria debe tener disponible para la AEPD:

1. Registro de Actividades de Tratamiento (RAT)

Documento que lista todos los tratamientos de datos que realizas. Para una inmobiliaria típica:

  • Captación de candidatos a inquilino
  • Gestión del alquiler
  • Comunicaciones a propietarios
  • Marketing (si lo haces)
  • Gestión laboral interna

2. Cláusula informativa

Texto que entregas a los candidatos antes de recoger sus datos. Debe incluir:

  • Responsable del tratamiento (tu inmobiliaria + datos de contacto)
  • Finalidad y base legal
  • Plazo de conservación
  • Destinatarios (si los datos se ceden)
  • Derechos del candidato y cómo ejercerlos
  • Reclamación ante la AEPD

3. Política de privacidad pública

En tu web debe haber una política de privacidad accesible que cubra:

  • Cookies
  • Formularios de contacto
  • Newsletter
  • Captación de candidatos online

4. Contratos con encargados de tratamiento

Si externalizas servicios que tocan datos (CRM externo, gestoría, herramienta de verificación), necesitas un contrato de encargado que regule el tratamiento.

Sanciones por incumplimiento

Las sanciones de la AEPD se clasifican en:

Leves (hasta 40.000 €)

  • No tener cláusula informativa
  • No responder a una solicitud de derechos en plazo
  • Conservar datos más allá del plazo

Graves (hasta 300.000 €)

  • Tratamiento sin base legal
  • Cesión de datos sin consentimiento
  • No reportar brechas de seguridad

Muy graves (hasta 20 millones € o 4% facturación)

  • Tratamiento de datos sensibles sin base
  • Filtraciones masivas no comunicadas
  • Decisiones automatizadas perjudiciales sin revisión

Sanciones medias reales

Para inmobiliarias pequeñas, las sanciones típicas son 1.000-10.000 € por incumplimientos formales. Las grandes (filtraciones masivas) llegan a cientos de miles.

Cómo Autenflow ayuda al cumplimiento

Autenflow está diseñado RGPD-first:

  • Borrado automático de documentos a los 7 días tras la verificación
  • No conservamos datos personales más allá de lo estrictamente necesario
  • Trazabilidad completa: podés exportar el log de qué se verificó y cuándo
  • Derecho al olvido: el candidato puede pedir borrado y se procesa en 24h
  • Encrypted at rest: todos los documentos cifrados en almacenamiento

Empezá gratis → — primeras 3 verificaciones por nuestra cuenta.

Sigue leyendo

Preguntas frecuentes

¿Necesito el consentimiento expreso del candidato para verificar sus documentos?+

No siempre. El art. 6.1.f del RGPD permite tratar datos bajo 'interés legítimo' para evaluar la solvencia del candidato. Pero es buena práctica informar al candidato del tratamiento que vas a hacer y obtener su firma en una cláusula informativa. Para datos sensibles (salud, religión, etc.) sí es obligatorio consentimiento expreso.

¿Puedo guardar copia del DNI del candidato no seleccionado?+

Solo durante el proceso de selección (máximo 30 días). Una vez decidido no firmar con ese candidato, debes borrar todos sus documentos personales. Conservarlos más tiempo sin causa justificada es infracción del RGPD.

¿Cuáles son las sanciones por incumplimiento del RGPD?+

Las sanciones administrativas pueden ir de 1.000 € a 20.000.000 € (o el 4% del volumen de negocio anual mundial si es mayor). En la práctica, para inmobiliarias pequeñas las sanciones suelen ser de 1.000-10.000 € por infracciones leves o medias. Las graves (filtración masiva de datos) llegan a millones.

¿Tengo que tener un Delegado de Protección de Datos (DPO)?+

Obligatorio solo si tratas datos a gran escala (>10.000 personas/año) o categorías especiales (salud, etc.). Para inmobiliarias pequeñas o medianas no es obligatorio. Pero sí es recomendable tener una persona responsable de RGPD y un proveedor externo de asesoramiento para casos complejos.

¿Cómo gestiono una solicitud del candidato para que le borre sus datos?+

Tienes 30 días para responder. Si los datos están en período de conservación legal obligatorio (contratos, facturas), no podés borrarlos hasta que termine. Si están fuera de obligación legal, debes borrarlos completamente, incluyendo backups. Documentar la solicitud y respuesta como evidencia ante una inspección de la AEPD.

Sigue leyendo

Cómo detectar una nómina falsa: 7 señales que solo un perito ve

Las nóminas falsificadas son cada vez más difíciles de detectar a simple vista. Estas son las 7 señales forenses que diferencian una nómina real de una manipulada en 2026.

8 min de lectura

Vida laboral del inquilino: la guía completa para inmobiliarias 2026

Qué dice el informe de vida laboral, qué señales delatan a un inquilino problemático y cómo verificar que el documento es legítimo. Guía actualizada 2026.

8 min de lectura