Hace unos días fui a una inmobiliaria para interesarme por un piso en venta, me pidieron mi teléfono y mi email para enviarme información pero no me informaron de cómo van a tratar esos datos.

Ni me pidieron consentimiento.

Las empresas del sector inmobiliario que prestan servicios tanto presenciales como on line (páginas web de compra-venta, alquiler, simulaciones de hipotecas, intermediación…) también están afectadas por el RGPD.

Por eso me decidí a escribir este post, que te recomiendo que leas, donde te explico cómo cumplir con la normativa de Protección de datos en tu inmobiliaria.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben cumplir las inmobiliarias el RGPD?

Las inmobiliarias manejan una gran cantidad de datos de clientes, empleados y proveedores, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

En tu inmobiliaria seguro que realizas actividades de captación de clientes, operaciones de compra, venta o alquiler de inmuebles, y contratación de suministros, contratación de profesionales, financiación, etc. Dentro de estas actuaciones recopilas muchos datos personales.

¿Cómo?

Cada vez que un cliente te deja sus datos para la compra o venta de un inmueble, contratas con los profesionales y empresas externas servicios de mantenimiento, o cedes los datos de sus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar una inmobiliaria para adaptarse al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Incluir los textos legales en la página web
  4. Solicitar el consentimiento a los clientes
  5. Firmar los contratos con los empleados
  6. Realizar un Análisis de riesgos
  7. Elaborar una Evaluación de impacto
  8. Notificar las brechas de seguridad
  9. Nombrar un DPD

A continuación te explico detalladamente cada una de esas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las inmobiliarias

1. Registro de actividades de tratamiento

¿Te imaginas en qué consiste?

Pues aquí te lo explico.

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad. En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado. La AEPD te lo pedirá si tienes una inspección.

¿Qué es eso de los tratamientos?

Es cualquier operación que realices con los datos, como modificación, consulta, utilización, cancelación, bloqueo o supresión.

¿Más claro?

Pues eso.

Los tratamientos más habituales en las inmobiliarias son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con terceros

¿Que tú no cedes datos a terceros?

¿No tienes una asesoría para temas fiscales o laborales?

¿Ni una empresa que lleva el mantenimiento informático?

Si tienes alguna de ellas, o las dos, sí cedes datos a terceros.

La asesoría accede a datos de clientes a través de las facturas y de empleados para elaborar las nóminas.

Y las empresas informáticas acceden a los datos guardados en los sistemas.

Debes asegurar que esos terceros también cumplan la normativa obligatoria.

¿Cómo lo aseguro?

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

3. Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro Mercantil o nº de colegiado, si eres autónomo.

¿Dónde lo pongo?

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de tu inmobiliaria y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

¿Qué tiene que incluir?

En el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos ARCO y de limitación y portabilidad y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Política de cookies

¿Y esto qué es?

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debes informar sobre las cookies utilizadas en tu página, su finalidad y duración.

4. Consentimiento de clientes

Una actuación fundamental que no puedes olvidar.

Además de actualizar la política de privacidad, la inmobiliaria debe tener el consentimiento expreso de todos tus clientes.

¿Para qué?

Para poder tratar sus datos.

Te preguntarás, ¿cómo lo obtengo?

Este consentimiento puedes solicitarlo de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la inmobiliaria, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Contratos con empleados

Los empleados tienen acceso a toda la información que maneja la inmobiliaria y, por tanto, deben firmar un acuerdo de confidencialidad.

¿Para qué?

Para evitar que esa información sea revelada a personas no autorizadas.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En la inmobiliaria los empleados se comunican entre ellos y con clientes y proveedores a través de correo electrónico normalmente. Esto les convierte en objetivos de los atacantes.

¿Por qué?

Porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

6. Análisis de riesgos

Aquí está el quiz de la cuestión.

Vamos al lío!

En tu inmobiliaria debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Tras este análisis deberán implementar unas medidas de seguridad adecuadas.

7. Evaluación de impacto

Y aquí está lo más complicado.

Pero no te preocupes.

Si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados.

¿Yo tengo que hacer eso?

Es raro que una inmobiliaria necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla. Por ejemplo, en el caso de que accedan a datos financieros o de crédito de los clientes (rentas, créditos, etc.).

Aquellas inmobiliarias que realizan procesos automatizados de elaboración de perfiles de sus clientes para segmentarlos en función de sus edades, poder adquisitivo, intereses, sus gustos y preferencias mostradas con su navegación, que puedan producir efectos jurídicos o afectar significativamente en las personas, deberán realizar una evaluación de impacto.

¿Y en qué consiste?

Se trata de un informe en el que se:

  • valora la idoneidad, necesidad y proporcionalidad de ese tratamiento,
  • determina los riesgos que entraña para los derechos y libertades de los interesados,
  • adopta las medidas y garantías adecuadas para reducir los riesgos, y
  • evita que dicho tratamiento resulte demasiado invasivo, atente contra los derechos y libertades de las personas y se les cause daños o perjuicios.

¿A que está más claro?

8. Notificar brechas de seguridad

Esto te interesa.

Así que ¡ojo!

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que tengas un ciberataque o infracción de seguridad en la inmobiliaria, debes estar prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Es importante destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Nombrar un DPD

Aunque el RGPD no incluye a las empresas de servicios inmobiliarios dentro de las obligadas a contratar un Delegado de Protección de Datos, en determinados casos puede ser aconsejable contratarlo.

¿En qué casos?

Por ejemplo, si manejas datos financieros o de crédito o si realizas actividades de prospección comercial.

El DPD puede ser alguien de la propia empresa con formación y conocimientos en la materia o puede contratarse de forma externa.

Preguntas frecuentes

¿Puedo enviar comunicaciones comerciales a mis clientes?

Puedes enviarlas siempre que tengas el consentimiento expreso de los clientes para ello. A la hora de solicitar el consentimiento es necesario indicar específicamente las finalidades para las que van a utilizarse los datos personales.

Si son clientes anteriores y no habían firmado ningún consentimiento, es necesario que lo firmen. Por tanto, todas las inmobiliarias deberán contar con procedimientos que permitan a sus clientes y usuarios aceptar de manera libre e inequívoca el uso y tratamiento de sus datos.

¿Y si los clientes me llegan a través de portales como Idealista o Fotocasa?

En ese caso deben ser esos portales los que incluyan los textos legales y su política de privacidad y soliciten el consentimiento al usuario al facilitar sus datos. Tú solo debes pedir el consentimiento cuando vayas a tratar esos datos, por ejemplo, para solicitarle o enviarle información.

¿Cómo debo tratar los curriculum que me dejan en la inmobiliaria?

En el caso de que una persona nos entregue su curriculum debemos:

  • Informarle de que lo vamos a guardar
  • Facilitarle el ejercicio de sus derechos ARCO, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

¿Es necesario recabar el consentimiento de los trabajadores para tratar sus datos?

Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, si que habrá que hacerlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.

Modelos

Aquí te dejo los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu inmobiliaria.

Sanciones

El RGPD ha llevado a numerosas empresas a trabajar a contrarreloj para adaptarse a las disposiciones de la norma. El reglamento, que ya se aplica a todos los profesionales y empresas, establecidas o no en la Unión Europea, que tratan datos personales de personas residentes en Europa, contempla sanciones y multas para aquellos que no hagan un uso adecuado de los datos personales de sus clientes.

Lo más efectivo es empezar a cumplir con esta normativa.

¿No crees?

No te asustes.

Pero aquí tienes algunos ejemplos de sanciones impuestas por la AEPD a inmobiliarias.

No facilitar el ejercicio de los derechos ARCO

Tienes la obligación de facilitar el ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad a los clientes. Debes indicar un medio sencillo y gratuito (email o dirección postal) donde los clientes puedan solicitar el ejercicio de esos derechos. Y responderles en plazo y forma. Resolución AEPD R/00993/2018

Cesión de datos a terceros sin consentimiento

Necesitas el consentimiento del cliente para ceder sus datos personales a terceros. Si vas a ceder datos personales a terceros debes informar al titular sobre los datos que van a cederse, la finalidad de esa cesión y el destinatario. El afectado debe dar su consentimiento. Resolución AEPD R/02619/2017

Y ahora que ya conoces todo lo que debes hacer ponte cuanto antes a adaptar tu inmobiliaria a la normativa de Protección de Datos.

¿Necesitas cumplir el RGPD?

Ley de Protección de Datos para inmobiliarias
4.6 (92.31%) 13 votos