Negocios de venta o alquiler de vivienda. Normativa 2024

Como cualquier en otro negocio, se tratan con datos personales de sus clientes, proveedores o empleados. Esto significa que están obligadas a cumplir con el RGPD y la LOPDGDD. Pero, ¿cómo deben hacerlo? En esta guía te hablamos sobre las exigencias de la normativa y cómo adaptar tu negocio de venta o alquiler a la ley actual.

¿Cómo adaptar un negocio de venta o alquiler de vivienda a la normativa vigente?

Las principales actuaciones a realizar para adaptarse al RGPD son:

Realizar un Registro de actividades de tratamiento
Firmar los contratos con terceros
Incluir los textos legales en la página web
Solicitar el consentimiento a los clientes
Firmar los contratos con los empleados
Realizar un Análisis de riesgos
Elaborar una Evaluación de impacto
Notificar las brechas de seguridad
Nombrar un DPD

A continuación te explico detalladamente cada una de esas actuaciones.

Registro de actividades de tratamiento

En primer lugar, es necesario llevar un registro de las actividades de tratamiento, indicando en cada fichero de qué tipo de datos se trata:

Tipo de datos almacenados
Finalidad
Legitimados
Política de almacenamiento de esos datos
Si se realizan cesiones o transferencias internacionales
Medios a través de los que se realiza el tratamiento

Este registro de actividad debes mantenerlo siempre actualizado. La AEPD te lo pedirá si tienes una inspección.

Descarga aquí todos los modelos gratis

¿Qué es eso de los tratamientos?

Es cualquier operación que realices con los datos, como modificación, consulta, utilización, cancelación, bloqueo o supresión de datos.

Los tratamientos más habituales son:

Clientes
Proveedores
Contabilidad
Empleados
Curriculum
Videovigilancia

Contratos con terceros

¿Trabajas con una asesoría para temas fiscales o laborales? ¿O con una empresa que lleva el mantenimiento informático? En casos como estos, estás cediendo datos a terceros.

Debes asegurarte de que esos terceros también cumplan la normativa obligatoria. Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

Aviso legal: en él se identifica al propietario de la web
Política de privacidad: se informa al usuario sobre el tratamiento que se hará de sus datos personales: qué datos se recaban, con qué finalidad, base legal para el tratamiento, plazo de conservación de datos, cesión a terceros, o ejercicio de los derechos ARCO.
Política de cookies: es obligatorio informar al usuario sobre el tipo de cookies utilizadas y solicitar consentimiento expreso para colocar una cookie en su navegador.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Consentimiento de clientes

Otra de las obligaciones es obtener el consentimiento expreso de los clientes para tratar sus datos.

Por consentimiento expreso se entiende que el usuario ha de realizar una acción explícita e inequívoca para que el responsable del tratamiento pueda almacenar o usar sus datos, por ejemplo, marcar una casilla o check box.

Además, si existen varias finalidades para el tratamiento, el usuario debe otorgar consentimiento para cada una de ellas por separado.

Este consentimiento puedes solicitarlo de dos formas:

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
En caso de que el cliente facilite sus datos personalmente, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Contratos con empleados

Los empleados tienen acceso a toda la información que maneja el negocio, por tanto, deben firmar una cláusula de confidencialidad para evitar que esa información sea revelada a personas no autorizadas.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

Análisis de riesgos

Se debe realizar un análisis de riesgos en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

Tipo de datos
Naturaleza de los datos
Medios de tratamiento
Cesiones
Transferencias internacionales y
Número de interesados afectados;

Tras este análisis deberás implementar unas medidas de seguridad adecuadas. En nuestra web puedes consultar un ejemplo de análisis de riesgos en protección de datos.

Evaluación de impacto

Si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados.

Aquellas negocios de alquiler o venta de viviendas que realizan procesos automatizados de elaboración de perfiles de sus clientes para segmentarlos en función de sus edades, poder adquisitivo, intereses, sus gustos y preferencias mostradas con su navegación, que puedan producir efectos jurídicos o afectar significativamente en las personas, deberán realizar una evaluación de impacto.

¿En qué consiste esta EIPD? Es un informe en que se determinan las siguiente cuestiones:

Valorar la idoneidad, necesidad y proporcionalidad de ese tratamiento,
Determinar los riesgos que entraña para los derechos y libertades de los interesados,
Adoptar las medidas y garantías adecuadas para reducir los riesgos, y
Evitar que dicho tratamiento resulte demasiado invasivo, atente contra los derechos y libertades de las personas y se les cause daños o perjuicios.

Consulta en nuestra web un modelo de informe final de una EIPD.

Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de las brechas de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que tengas un ciberataque o infracción de seguridad debes estar prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Es importante destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Nombrar un DPD

Aunque el RGPD no incluye a estos negocios dentro de los obligados a contar con un Delegado de Protección de Datos obligatorio, en la LOPDGDD se establece que deben contratar un DPD aquellas empresas que tengan la obligación de cumplir la legislación sobre prevención y blanqueo de capitales.

Y las negocios relacionados con venta o alquiler de vivienda deben cumplir esa ley, por lo que están obligadas a contratar un DPD.

El DPD puede ser alguien de la propia empresa con formación y conocimientos en la materia o puede contratarse de forma externa.

Sanciones por incumplimiento

El RGPD establece tres categorías de sanciones en función de la gravedad de la infracción, el beneficio obtenido, el perjuicio causado, la extensión de la conducta en el tiempo o la voluntad para corregir el comportamiento ilícito.

En concreto, distingue entre:

Infracciones Leves: multa de hasta 40.000 €
Infracciones graves: multa de 40.001 € a 300.000 €
Infracciones muy graves: multa entre 300.001 € a 20.000.000 €

En el caso de las infracciones muy graves, suelen ser impuestas a grandes empresas multinacionales. En estos casos, las sanciones de 20 millones de euros podrían no ser suficientes, por lo que se podrían multar con un importe de hasta el 4% de su facturación anual.

Modelos

Te dejamos una serie de modelos que te van a ser de mucha ayuda para el correcto cumplimiento de la normativa.

Contrato con terceros
Página web
Compromiso confidencialidad empleados
Consentimientos
- Consentimiento clientes
- Consentimiento CV
Videovigilancia
- Carteles Videovigilancia
- Información a trabajadores de instalación de Videovigilancia
Comunicaciones
- Correos electrónicos
- Facturas

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.