La implementación adecuada de la normativa del Reglamento General de Protección de Datos (RGPD) es esencial en nuestros días. Conoce los pasos clave y las mejores prácticas para asegurar que tu inmobiliaria cumplan con este marco regulatorio crucial, y evite posibles sanciones. Desde la recopilación y gestión de datos hasta la designación de un Delegado de Protección de Datos (DPD), desglosaremos cada aspecto de la adaptación al RGPD en el contexto español. ¡Acompáñanos en este viaje hacia el cumplimiento normativo y la seguridad de datos!
¿Están obligadas las Inmobiliarias a cumplir la Protección de Datos?
LOPD es de aplicación obligada para cualquier empresa o negocio que tratan datos personales.
En el caso de las inmobiliarias, es importante destacar que se manejará el doble de datos personales en comparación con otras actividades. Los agentes inmobiliarios tienen la labor de facilitar el contacto entre dos partes, que generalmente son el vendedor y el comprador, aunque en otras ocasiones también pueden ser el arrendatario y el arrendador, entre otros. Por esta razón, vamos a considerar el doble de datos personales en este contexto.
Entre los datos que serán procesados se incluirán:
- Contacto: nombres, teléfonos, email, DNI;
- Económicos: cuentas bancarias, informes de solvencia, nominas;
- Transacciones de bienes y servicios;
- Detalles de empleo y profesionales, no solo de nuestros empleados/as, sino también de nuestros clientes.
- Circunstancias sociales: alojamiento, vivienda, propiedades y posesiones;
- Imágenes de inmuebles.
Obligaciones de las Inmobiliarias con respecto a la Ley de Protección de Datos
Una de las obligaciones más críticas que una inmobiliaria debe siempre considerar es proporcionar información precisa y adecuada a sus clientes, conforme a normativa. A través de nuestra experiencia, hemos observado que los clientes tienden a utilizar cualquier argumento útil si surge alguna desavenencia entre las partes. La falta de información de Protección de Datos podría resultar en la pérdida de los honorarios del agente inmobiliario, ya que existe el temor a posibles sanciones severas por parte de la Agencia Española de Protección de Datos (AEPD) si fuésemos denunciados.
¿Qué información debemos de incluir y cuándo hemos de indicarlo?
La información que debemos proporcionar a nuestros clientes acerca del tratamiento de sus datos personales debe llevarse a cabo en el primer contacto durante la adquisición de datos. En el caso de los vendedores, este momento se produce al firmar el contrato de servicios. En el caso de los compradores o arrendatario, se realiza mediante la hoja de visitas o partes de trabajo. Como mencionamos previamente, realizar este paso de manera adecuada es de suma importancia para prevenir posibles conflictos en el futuro.
La información que debe incluir en el texto informativo será:
- Identificación del responsable del tratamiento;
- Finalidad del tratamiento;
- Base legítima principal del tratamiento. Normalmente, será el una obligación legal y/o ejecución de un contrato;
- Especificar los derechos de Protección de Datos del cliente/a;
- Destinatarios o las categorías de destinatarios de los datos;
- Dónde o cómo poder ampliar la información básica de Protección de Datos.
¿Deben las inmobiliarias nombrar un Delegado de Protección de Datos?
Aunque el RGPD no exige que estos negocios designen de manera obligatoria a un Delegado de Protección de Datos (DPD), la LOPD establece que las empresas sujetas a la legislación de prevención y blanqueo de capitales deben nombrar un DPD.
Las empresas relacionadas con la venta o alquiler de inmuebles están bajo la obligación de cumplir con esta ley, lo que implica la necesidad de contratar a un DPD.
El DPD puede ser una persona dentro de la propia empresa con la formación y los conocimientos requeridos en esta materia, o puede optarse por la contratación externa de un profesional especializado.
Realizar un Análisis de riesgos
Es esencial realizar un análisis detallado de los riesgos antes de iniciar cualquier procesamiento de datos personales. Este análisis busca identificar las amenazas potenciales que pueden surgir debido a dicho procesamiento y evaluar el grado de riesgo que pueden representar para los derechos y libertades de las personas afectadas.
Registro de actividades del tratamiento
El Registro de actividades del tratamiento (RAT) es un documento descriptivo que incluye la información sobre los “ficheros” de datos personales que son tratados en nuestra empresa. Cuando hablamos de ficheros, utilizamos el término que se daba en la anterior ley de Protección de Datos y que era obligatorio inscribir en la AEPD. Ahora ya no.
La información que debe incluir el RAT es:
- Información del responsable del tratamiento: Detalles de la organización o entidad que procesa los datos personales.
- Categorías de datos personales: Enumeración de los tipos de datos personales que se recopilan y procesan.
- Finalidades del tratamiento: Descripción de por qué se recopilan y procesan los datos.
- Base legal del tratamiento: Indicación de la base legal que justifica el procesamiento de datos.
- Destinatarios de los datos: Identificación de las personas o entidades con las que se comparten los datos personales.
- Transferencias internacionales de datos: Si los datos se transfieren fuera de la UE, se debe especificar cómo se garantiza la protección de esos datos en el país receptor.
- Plazo de retención de datos: Período durante el cual los datos se mantendrán almacenados antes de su eliminación.
- Medidas de seguridad: Descripción de las medidas de seguridad implementadas para proteger los datos.
- Registro de violaciones de datos: Documentación de cualquier violación de datos y las medidas tomadas para abordarla.
- Delegado de protección de datos (DPO): Si se ha designado un DPO, se deben proporcionar sus datos de contacto.
Confidencialidad de empleados/as de inmobiliarias
Si existen empleados a cargo del responsable del tratamiento de datos y tienen acceso a la información de los clientes, es esencial que hayan recibido información y formación al respecto. Estos empleados deben comprometerse a mantener la confidencialidad no solo durante el periodo de su contrato laboral, sino también después de que este haya concluido.
En este contexto, resulta imperativo que los empleados firmen un acuerdo de confidencialidad. Este documento debería abarcar una descripción minuciosa de las mejores prácticas relacionadas con la manipulación de información personal, así como el uso apropiado de equipos informáticos, herramientas y aplicaciones empleadas en la gestión de dicha información.
En los casos que nuestros empleados/as se rijan por un contrato comercial (autónomos) deberemos utilizar un contrato especifico de Protección de Datos
Contratos con terceros
Cualquier empresa subcontrata servicios para la prestación de un servicio. La LOPD estipula que se ha de firmar un contrato que establezca la relación y responsabilidad de ambas partes.
Este contrato deberá incluir:
- Objeto del encargo del tratamiento
- Identificación de la información afectada
- Obligaciones del encargado del tratamiento
- Nivel de medidas de seguridad aplicable a los datos
- Notificación de violaciones de la seguridad de los datos
- Destino de los datos
- Obligaciones del responsable del tratamiento
Además de los empleados/as con contrato comercial, otras empresas que deberán firmar este tipo de contrato son: asesorías, mantenimiento informativo, hosting web, otras agencias colaboradoras, plataformas web de compra/venta de inmuebles, etc.
Auditorías de Protección de Datos
La realización de una Auditoría de Protección de Datos de manera anual es básica para el cumplimiento de la normativa. El principio de responsabilidad proactiva, que se encuentra en el artículo 5 del Reglamento General de Protección de Datos (RGPD), establece que el responsable del tratamiento debe tomar las medidas adecuadas para cumplir con la normativa y garantizar, además de demostrar, su implementación efectiva. En este contexto, la auditoría se convierte en una herramienta fundamental para verificar la idoneidad y la correcta aplicación de las medidas establecidas.
Con el tiempo, las autoridades de control emiten nuevas directrices que deben ser incorporadas. Dado que las personas tendemos a relajarnos en la aplicación de los protocolos de seguridad, existe el riesgo de que se produzca una vulnerabilidad en la seguridad de los datos. Por lo tanto, la auditoría periódica se vuelve aún más crucial para mantener la protección de los datos de manera efectiva.
Atención de los derechos
Es responsabilidad del empresario establecer un canal y un procedimiento eficiente para gestionar adecuadamente los derechos de las personas. Estos derechos abarcan el acceso, la rectificación, la eliminación, la limitación del procesamiento, la portabilidad de datos y el derecho a ser informado sobre la posibilidad de presentar una queja ante la Agencia Española de Protección de Datos (AEPD).
De acuerdo con la Ley Orgánica de Protección de Datos (LOPD), el plazo para responder a estas solicitudes es de 30 días a partir de la recepción de la misma.
Obligación de notificar las brechas de seguridad
El Responsable del Tratamiento deberá establecer un procedimiento para informar de cualquier vulneración de seguridad que sufran los datos personales. Este procedimiento debe contener información detallada sobre el suceso, incluyendo todas aquellas acciones correctivas implementadas para prevenir la recurrencia de situaciones peligrosas en relación a los datos. La notificación debe ejecutarse en un período no mayor a 72 horas y se efectúa mediante medios telemáticos.
Página web de la inmobiliaria
Cuando ofreces tus servicios de manera online tendrás que implementar algunas medidas informativas en tu página web:
- Aviso Legal: Incluye un aviso legal que contenga nuestra denominación, CIF, dirección, correo electrónico de contacto y número de Registro Mercantil.
- Política de Privacidad: Publica nuestra Política de Privacidad para proporcionar detalles avanzados sobre cómo manejamos los datos personales en otros documentos, como facturas u órdenes de trabajo, entre otros
- Formularios: Agrega una casilla específica para que los usuarios acepten nuestra Política de Privacidad. Esta casilla no estará pre-seleccionada. Asegúrate de proporcionar un enlace directo a la Política de Privacidad. Si utilizamos boletines de noticias o suscripciones, la conformidad debe ser independiente y requerir otro «check-box» de aceptación.
- Cookies: Si nuestra página web recopila datos a través del uso de cookies, es imperativo publicar una política de uso de cookies que explique qué son las cookies y enumere sus propósitos, además de identificar la entidad que las instala en nuestros dispositivos. Al acceder a la web, debe aparecer un aviso o banner de cookies que informe sobre el uso de cookies no esenciales para la navegación en la web (como las relacionadas con marketing y publicidad). Este banner debe permitir la instalación de cookies no esenciales solo cuando el usuario las acepte explícitamente.
¿Necesitas un presupuesto?
Podemos ayudarte
También puedes llamarnos al 954 53 64 34