¿Es adecuado WhatsApp para compartir copias del pasaporte?

No. WhatsApp es mensajería de consumo. Las copias persisten en dispositivos personales, galerías y backups en la nube fuera del control del sujeto obligado. La AEPD ha advertido contra su uso para datos personales en contextos profesionales.

¿Es adecuado el correo electrónico para compartir copias del pasaporte?

El correo estándar no es adecuado. Si es inevitable, enviar el documento en un contenedor cifrado con contraseña, entregada por canal distinto.

¿Qué medidas de seguridad deben aplicarse a la documentación KYC?

Cifrado en reposo y tránsito, acceso por roles, registros de auditoría, MFA, diligencia debida con proveedores, copias de seguridad seguras y respuesta a incidentes documentada (art. 32 RGPD).

¿Qué riesgos tiene compartir documentos sin protección?

Brechas de datos, sanciones de la AEPD, fraude de identidad, daño reputacional y hallazgos supervisores de SEPBLAC.

¿Cómo deben almacenarse los archivos KYC?

En sistemas cifrados con control de acceso, trazabilidad y calendario de retención documentado. Nunca en dispositivos personales, USB o cuentas en la nube no gestionadas.

¿Qué debe ocurrir al vencer el plazo de conservación?

Los documentos deben destruirse de forma segura, salvo que otra obligación legal exija más tiempo o el bloqueo se justifique por reclamación o investigación activa.

Análisis del sector

PBC frente al RGPD en el sector inmobiliario español

Guía de referencia para agentes inmobiliarios, abogados, brókers hipotecarios, promotores y profesionales del cumplimiento sobre cómo interactúan en España las obligaciones de PBC y RGPD.

Publicado 10 de junio de 2026

Por qué se confunden PBC y RGPD

La Ley 10/2010 exige a los profesionales inmobiliarios identificar a clientes y titulares reales y conservar la documentación durante diez años. El RGPD y la LOPDGDD imponen minimización, limitación de la finalidad y seguridad reforzada. Ambos regímenes no entran en conflicto: se aplican a la vez, siendo la PBC la base jurídica del tratamiento y el RGPD el marco que define cómo realizarlo.

Base jurídica para tratar datos de KYC

Para los sujetos obligados de la Ley 10/2010, la base lícita es la **obligación legal** (art. 6.1.c RGPD), no el consentimiento. No debe pedirse consentimiento para el KYC de PBC, porque su retirada no detendría el tratamiento.

¿Pueden los agentes inmobiliarios recoger copias del pasaporte?

Sí. Como sujetos obligados de la Ley 10/2010, los agentes deben verificar la identidad mediante un documento fiable. Pasaporte, DNI o NIE son válidos. El tratamiento debe ser necesario, proporcionado, seguro y conservarse solo el tiempo que exija la ley.

¿Pueden enviarse copias del pasaporte por email?

El correo electrónico estándar no es adecuado. No está cifrado de extremo a extremo entre proveedores, queda archivado en buzones personales y se reenvía fácilmente. Si debe usarse, el documento debe enviarse en un contenedor cifrado y protegido con contraseña, entregada por un canal distinto.

¿Pueden enviarse copias del pasaporte por WhatsApp?

No es recomendable utilizar WhatsApp para compartir documentación KYC. El cifrado de extremo a extremo protege el contenido en tránsito, pero las copias persisten en dispositivos personales, copias de seguridad en la nube, galerías y exportaciones de chats fuera del control del sujeto obligado. La AEPD ha advertido reiteradamente contra el uso de mensajería de consumo para datos personales en contextos profesionales.

¿Cuánto tiempo pueden conservarse las copias del pasaporte?

La Ley 10/2010 exige conservar la documentación KYC durante diez años desde el fin de la relación de negocio o de la operación ocasional. Transcurrido ese plazo, los documentos deben destruirse de forma segura, salvo que otra obligación legal exija más tiempo.

¿Quién puede acceder a la documentación KYC?

El acceso debe limitarse al personal con función AML asignada. Tanto la Ley 10/2010 como el principio de seguridad del RGPD (art. 32) exigen controles de acceso, registros de auditoría y compromisos de confidencialidad.

Compartir KYC entre agentes y abogados

Cuando agentes y abogados actúan como sujetos obligados (conjuntos o separados) en la misma operación, la compartición debe realizarse por canal seguro, con registro de cesiones y roles claros (responsable, encargado o corresponsables, según el caso). Cada parte debe poder justificar su propia base jurídica.

Compartir KYC con bancos y notarías

Los bancos y notarías son sujetos obligados independientes y realizan su propia DDC. Pueden recibirse documentos KYC para una operación concreta, pero cada destinatario los conserva y protege bajo su propia obligación legal, no como copia de cortesía.

Plazos de conservación

El mínimo legal de PBC es de diez años. Los datos personales deben suprimirse al término de ese plazo salvo que la normativa fiscal, civil o sectorial exija conservarlos más. El bloqueo (no la supresión total) es admisible durante investigaciones o reclamaciones abiertas.

Requisitos de seguridad para la documentación KYC

El art. 32 del RGPD exige medidas técnicas y organizativas apropiadas: cifrado en reposo y en tránsito, control de accesos, registro, copias de seguridad seguras, diligencia debida con proveedores, detección de brechas y respuesta a incidentes documentada.

Errores frecuentes en el sector inmobiliario

Solicitar consentimiento para el tratamiento de PBC.
Guardar copias de pasaporte en unidades compartidas accesibles a toda la agencia.
Reenviar KYC por WhatsApp o correo personal.
Conservar KYC indefinidamente tras el cierre de la operación.
No firmar el contrato de encargo de tratamiento con el CRM, plataforma de firma o proveedor KYC.

Buenas prácticas para compartir KYC de forma segura

Utilizar una plataforma KYC dedicada con control de accesos y trazabilidad.
Transferir documentos por enlaces TLS con vigencia limitada.
Aplicar permisos por rol y revocarlos al cerrar la operación.
Documentar el calendario de retención y ejecutar borrados seguros periódicos.
Formar a todo el personal que trate datos KYC.

Autoridades españolas relevantes

**AEPD** — Agencia Española de Protección de Datos.
**SEPBLAC** — Unidad de Inteligencia Financiera (supervisor PBC del sector inmobiliario).
**Banco de España** — supervisor bancario y de pagos.

Regulación europea relevante

RGPD (Reglamento 2016/679) y LOPDGDD (Ley Orgánica 3/2018).
AMLA, 6ª Directiva y el Reglamento Único Europeo de PBC.
eIDAS 2.0 y la Cartera Europea de Identidad Digital.
Directiva NIS2 de ciberseguridad.