En mayo de 2022, la ANTAI multó a un condominio panameño con B/.4,000 por fotografiar la cédula de un visitante sin su consentimiento. No había base de datos, ni software de inteligencia artificial, ni ningún sistema complejo. Solo una imagen tomada sin permiso. El corredor que hoy usa un asistente de IA para calificar compradores por WhatsApp maneja algo considerablemente más amplio: nombre, número de teléfono, presupuesto, zona preferida, situación familiar y el historial completo de la conversación. Todo eso es dato personal bajo la Ley 81. Y la ley ya está vigente.
Lo que cuenta como dato personal bajo la Ley 81
La Ley 81 de Panamá, vigente desde el 29 de marzo de 2021, define dato personal como cualquier información sobre una persona natural determinada o determinable. En la práctica inmobiliaria, eso incluye casi todo lo que el corredor recibe en las primeras 24 horas de contacto con un prospecto: nombre completo, número de teléfono o cédula, rango de presupuesto, zona de búsqueda y si la compra es para uso propio o inversión.
La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) aplica la ley. Hasta mayo de 2022 había procesado 43 quejas formales e impuesto 8 sanciones económicas (según EcoTV Panamá, 2022). Las multas van de B/.1,000 a B/.10,000 según la gravedad y la reincidencia. Las infracciones clasificadas como muy graves, como recopilar datos sin consentimiento o hacerlo de manera dolosa, pueden derivar en suspensión de actividades además de la multa. Un anteproyecto de reforma que circuló en la Asamblea Nacional en 2024 propone elevar el techo de las multas a B/.100,000 (según Sucre.net, 2025).
Para la mayoría de los corredores, la ley pasa desapercibida porque no se perciben como empresas que "manejan datos". Pero la definición es amplia. Si tienes un grupo de WhatsApp con prospectos, una hoja de Excel con leads o usas cualquier software que almacene información de clientes, ya eres un responsable del tratamiento de datos bajo la Ley 81 (según RSM Panama, 2021).
Dónde viven los datos cuando usas WhatsApp y un chatbot
WhatsApp Business en su versión gratuita, la app del teléfono, almacena conversaciones localmente y en los servidores de Meta. La API de WhatsApp Business Cloud, que es la que usan plataformas como Kommo, Wati o Respond.io, tiene un esquema diferente: los mensajes se retienen en los servidores de Meta por un máximo de 30 días y luego se eliminan automáticamente. Meta declara operar como "procesador de datos" en ese contexto, afirma que no usa los mensajes de la API para publicidad y cuenta con certificaciones SOC 2 Tipo II e ISO 27001 (según Wuseller, 2026).
El problema no está en WhatsApp. Está en lo que ocurre después. Cuando una plataforma de terceros recibe el mensaje del cliente, ese contenido queda almacenado en los servidores de esa plataforma, que en la mayoría de los casos operan en Estados Unidos o en la Unión Europea. Eso constituye una transferencia internacional de datos personales bajo la Ley 81. La ley exige que esa transferencia se haga con garantías adecuadas, lo que en términos prácticos significa un contrato de procesamiento de datos entre el corredor y el proveedor del software.
La mayoría de los proveedores grandes tienen ese contrato disponible, conocido en la industria como DPA (Data Processing Agreement). El problema es que casi nadie lo firma porque casi nadie lo pide. Tampoco nadie lo exige cuando la herramienta es gratuita, aunque los datos que procesa no lo sean.
El riesgo específico de las herramientas de IA generativa
El riesgo más concreto no viene del CRM. Viene del hábito de copiar y pegar. Según investigación de IBM citada por Bisnow en 2025, más de un tercio de los trabajadores admitió haber compartido información laboral sensible con herramientas de IA sin autorización de su empleador (según Bisnow, 2025). En el contexto del corredor independiente, no hay un empleador que lo detecte. Pero la Ley 81 sigue aplicando.
Cuando pegas el perfil de un cliente en ChatGPT para redactar una oferta, o describes su situación financiera a un asistente de IA para pedir consejos de negociación, esa información entra en los sistemas de OpenAI. Por defecto, esos datos pueden usarse para mejorar los modelos de la compañía, a menos que el usuario haya configurado su cuenta para salir de ese esquema. OpenAI ofrece esa opción, pero requiere configuración activa y en algunos casos un plan de pago.
El mismo principio aplica a cualquier herramienta de IA sin DPA firmado. El responsable del tratamiento es quien decide qué datos entran y con qué fin. En este caso, el corredor.
La misma investigación encontró que el 66% de los profesionales de bienes raíces usa herramientas de IA de forma semanal, pero solo el 5% confía en ellas lo suficiente para tomar decisiones reales con esos datos. El entusiasmo y la precaución no avanzan al mismo ritmo.
Lo que puedes controlar sin convertirte en abogado
La Ley 81 no prohíbe usar herramientas de IA. Exige que el tratamiento de datos personales tenga un propósito definido, el consentimiento del titular y medidas de seguridad razonables. Eso es más manejable de lo que suena.
Primer paso: saber dónde viven tus datos. Abre tu CRM o plataforma de atención y busca la sección "Privacy Policy" o "Data Processing". Si usas HubSpot Free, Kommo, Wati u otra plataforma conocida, ese documento existe y está en línea. Lo que necesitas confirmar: en qué país están los servidores, si el proveedor firma DPAs y cuánto tiempo retienen los datos.
Segundo paso: consentimiento al primer contacto. No necesitas un contrato de diez páginas. Basta una línea al inicio de la conversación: "Al continuar, aceptas que usemos tus datos de contacto para gestionar tu búsqueda inmobiliaria. No los compartiremos con terceros sin tu autorización." Eso documenta el consentimiento, define el propósito y crea un registro en la misma plataforma donde ocurrió.
Tercer paso: minimización para las herramientas de IA generativa. Antes de copiar información de un cliente en una herramienta de IA pública, pregúntate si necesitas incluir su nombre, número de cédula o presupuesto exacto. En la mayoría de los casos, una descripción funciona sin datos identificadores. "Cliente de 45 años, presupuesto de $300,000, busca tres habitaciones en Costa del Este" produce una respuesta igual de útil que incluir el nombre completo y el número de teléfono.
Qué hacer con esto
El corredor panameño que trabaja con WhatsApp, un CRM y alguna herramienta de IA ya opera dentro del ámbito de la Ley 81, lo quiera o no. El marco no es opcional. Tampoco es prohibitivo.
Esta semana, hay dos cosas concretas que se pueden hacer sin invertir tiempo ni dinero. La primera es revisar el plan de privacidad de cada plataforma en uso. Si hay un formulario para firmar un DPA, hay que pedirlo y firmarlo. Si el CRM almacena datos fuera de Panamá y no existe nada firmado, un correo al soporte técnico solicitando el documento es suficiente para empezar.
La segunda es establecer una regla operativa para las herramientas de IA generativa: se puede usar la IA para redactar, estructurar y analizar. Pero el nombre, la cédula y el teléfono del prospecto no entran en un modelo que no está bajo contrato. Esa separación protege al cliente y protege al corredor, y no cambia en nada la calidad de lo que produce la herramienta.
Si el anteproyecto de reforma a la Ley 81 avanza en la Asamblea Nacional y las multas llegan a B/.100,000, el costo de no leer la política de privacidad de un software va a ser mucho más difícil de ignorar. Mejor revisar eso antes de que sea urgente.