La nueva LFPDPPP de México, publicada en marzo de 2025, establece multas de hasta 36 millones de pesos por infracciones en el manejo de datos personales. Colombia puede suspender las operaciones de una empresa y multar hasta 2.000 salarios mínimos. Brasil tiene una agencia de datos con mandato activo que en 2025 abrió investigaciones específicas sobre herramientas de IA. Y la mayoría de las inmobiliarias en LATAM adoptaron esas herramientas sin revisar si su aviso de privacidad las cubre.
Qué acumula el CRM con IA, campo por campo
Un CRM con inteligencia artificial no guarda solo el nombre y el teléfono del cliente. Con cada ciclo de uso, el sistema construye un perfil que crece de forma automática.
Datos de contacto y preferencias declaradas: zona, tipo de inmueble, presupuesto, número de habitaciones. El cliente los entrega al primer contacto y son la categoría más fácil de justificar legalmente: hay consentimiento implícito en la consulta.
Datos de comportamiento: qué fichas de propiedades abrió, cuánto tiempo pasó en cada una, a qué hora del día responde más rápido, cuántos mensajes ignoró antes de contestar. El cliente no los entrega: el sistema los infiere de sus acciones. Son el núcleo de los modelos de scoring que clasifican la probabilidad de cierre.
Contenido de comunicaciones: cuando la herramienta procesa conversaciones de WhatsApp o correo para detectar intención de compra, está leyendo texto que puede contener información financiera, familiar o personal que el cliente nunca pensó que quedaría registrada en la base de datos de una agencia.
Inferencias automatizadas: puntuación de probabilidad de cierre, urgencia estimada, capacidad de pago inferida. El sistema produce etiquetas que el cliente nunca aprobó de forma explícita.
La distinción legal que importa: los datos declarados tienen una base legal relativamente clara. Los datos de comportamiento, el contenido de conversaciones y las inferencias son categorías con requisitos distintos en cada marco de LATAM, y ahí ocurren la mayoría de los incumplimientos. Una agencia que solo actualizó su aviso de privacidad para mencionar el CRM, pero no lo que el CRM hace con los datos, ya está expuesta.
El mapa regulatorio que tu agencia necesita conocer
Cuatro marcos cubren la mayor parte del mercado inmobiliario en la región:
Colombia, Ley 1581 de 2012. La Superintendencia de Industria y Comercio (SIC) puede multar hasta 2.000 veces el salario mínimo mensual legal vigente y ordenar la suspensión de bases de datos. La SIC tiene un historial activo de sanciones: en 2025 multó a Mercado Libre por requerir datos biométricos sin base legal, aplicando los principios de proporcionalidad y minimización. El perfilamiento automatizado de leads sin mencionarlo en el aviso de privacidad aplica el mismo principio (según TrustArc, 2025).
México, nueva LFPDPPP (publicada en marzo de 2025). La ley reemplazó el texto de 2010. Las multas van de 100 a 320.000 UMA, equivalente a hasta 36,2 millones de pesos, y se duplican cuando involucran datos sensibles. La ley también incluye penas de hasta cinco años de prisión por manejo fraudulento de datos. El incumplimiento más común en agencias que adoptaron IA es el aviso de privacidad desactualizado: el documento describe fines de uso que ya no reflejan lo que el sistema hace (según Uplaw México, 2025).
Brasil, LGPD. La Autoridade Nacional de Proteção de Dados (ANPD) puede multar hasta el 2% del ingreso anual, con un tope de 50 millones de reales por infracción. En 2025, la ANPD abrió investigaciones sobre herramientas de IA que usan datos de usuarios para entrenar modelos sin transparencia suficiente. Una agencia que no sabe si su proveedor de CRM entrena sus modelos con los datos de sus clientes corre un riesgo que no es hipotético (según Adherent, 2025).
Chile, nueva Ley de Protección de Datos. Con vigencia plena desde diciembre de 2026, clasifica las infracciones en tres niveles: leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM, equivalente a 2 a 4% de ingresos anuales para reincidentes). Las agencias chilenas que implementen IA durante 2026 deberían adaptar su documentación legal ahora, no cuando la ley entre en vigor (según epiuselabs, 2025).
Panamá opera bajo la Ley 81 de 2019, que exige consentimiento explícito para el tratamiento de datos personales, pero aún no cuenta con regulación específica sobre decisiones automatizadas o perfilamiento.
Los tres puntos donde el riesgo se concentra
Tres puntos concentran la mayor parte de la exposición para una inmobiliaria que usa IA:
El aviso de privacidad que no menciona la IA. La mayoría de las agencias en LATAM tienen un aviso redactado antes de adoptar su CRM actual. Ese documento describe fines de uso que ya no reflejan la realidad: no menciona el perfilamiento, no menciona el scoring, no menciona si los datos se comparten con el proveedor de software. Eso es incumplimiento en Colombia, México y Brasil desde el primer momento en que el sistema entra en operación.
Los leads de portales inmobiliarios. Cuando la agencia recibe un lead de Lamudi, Inmuebles24, Properati u otro portal, ese contacto dio su consentimiento al portal, no a la agencia. Transferir ese lead a un CRM que construye un perfil automatizado requiere, en casi todos los marcos de LATAM, informar al titular sobre el nuevo tratamiento. La práctica estándar en el sector no cumple este requisito.
El análisis de conversaciones. Usar una herramienta de IA que procesa conversaciones de WhatsApp para clasificar intención de compra es tratar contenido de comunicaciones privadas. En Brasil eso ya activó investigaciones de la ANPD. En México, el contenido de conversaciones puede considerarse dato sensible según el contexto. Un aviso de privacidad genérico no cubre este uso específico.
Qué hacer con esto
Lo primero es revisar el aviso de privacidad de la agencia. Si fue redactado antes de 2024 y la operación ya usa herramientas de IA, casi con certeza está desactualizado. El documento debe mencionar explícitamente: scoring de leads, análisis de comportamiento, automatización de seguimiento, y si los datos se transfieren a proveedores externos. Esto no es opcional en Colombia, México ni Brasil.
Lo segundo es revisar el contrato con el proveedor de software. La pregunta concreta: ¿los datos de los leads se usan para entrenar modelos del proveedor? Si la respuesta no está en el contrato, es un riesgo. Los marcos de LATAM aplican el principio de responsabilidad en la cadena: si el proveedor maneja mal los datos, la agencia responde ante la autoridad.
Lo tercero es implementar un proceso sencillo: cuando un lead entra al sistema, envía un mensaje breve que informe el tratamiento de sus datos y ofrezca la opción de darse de baja. No tiene que ser un documento legal extenso. Tiene que existir y quedar registrado.
Lo cuarto es mantener un registro de tratamientos: un documento interno que describa qué datos recopila la agencia, para qué los usa, con qué proveedores los comparte y por cuánto tiempo los guarda. Colombia y Brasil lo exigen de forma explícita; México lo incorpora en la nueva ley como estándar de cumplimiento.
La regulación en LATAM aún no tiene el nivel de enforcement de Europa, pero la dirección es clara. Colombia lleva años sancionando empresas por perfilamiento sin consentimiento. México tiene penas de prisión en la ley nueva. Brasil tiene una agencia activa con investigaciones en curso. Las inmobiliarias que ajusten su operación durante 2026 no van a tener que correr en 2027.