¿Qué ocurre con los datos personales que facilitamos a empresas de ingeniería y construcción cuando solicitamos un presupuesto? ¿Para qué pueden utilizarlo? ¿Los van a guardar? Como ocurre con otras empresas y organismos, las empresas de construcción e ingeniería deben cumplir con la ley de protección de datos y adaptarse al RGPD. En esta entrada vamos a explicar cómo adaptar una empresa de este sector a la normativa vigente.

Normativa de Protección de Datos

Se necesitas comprobar qué normativa regula en España la protección de datos, debes recurrir a estos reglamentos y leyes:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

Adaptación al RGPD de las empresas de construcción

Como hemos dicho al principio, como cualquier otra entidad, una empresa de construcción e ingeniería tiene que cumplir con LOPD y adaptarse al RGPD, puesto que manejan tanto de sus clientes como de proveedores y empleados, además de aquellas otras empresas a las que puedan llegar a subcontratar.

Debes tener en cuenta que cada vez que un cliente te facilita sus datos, ya sea para elaborar un presupuesto para contratar una obra, así como los contratos que firmas con otras empresas o profesionales externos la prestación de servicios de mantenimiento, o cuando cedes los datos de tus empleados para elaborar sus nóminas, estas manejando datos de carácter personal de tercero y actualmente, esto exige que cumplas con la normativa de protección de datos vigentes, entre ellas, adaptar tu empresa al RGPD, para ello, estas son las principales acciones que debes llevar a cabo:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Incluir los textos legales en la página web
  5. Solicitar el consentimiento a los clientes
  6. Realizar un Análisis de riesgos
  7. Notificar las brechas de seguridad

A continuación te explico detalladamente cada una de esas actuaciones.
como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las empresas de construccion e ingenieria

1. Registro de tratamientos

Para llevar a cabo el registro de tratamiento de datos de una empresa constructora o de ingeniería, lo primero que hay que tener en cuenta es saber qué tipos de datos se manejan y en qué cantidad. Además, el registro incluirá la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de tratamiento deberá estar continuamente actualizado y a disposición de la autoridad de datos, en España es la AEPD, si esta lo solicita en caso de inspección.

Las empresas de ingeniería y construcción suelen tratar de manera habitual los siguientes datos:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

En el momento en que necesitas ceder los datos personales de tus clientes, proveedores o empleados con terceros, necesitas realizar un contrato de encargado de tratamiento con ellos. Esta situación se produce, por ejemplo, cuando contratas una gestoría para que se ocupe de las cuestiones laborales y fiscales de tu empresa o contratas a un albañil autónomo para que se encargue de algunas obras o una empresa informática de llevar el mantenimiento de tus ordenadores. En todos esos casos, estás dando acceso a datos personales a terceros, de los que también debes asegurarte de que tratan correctamente dichos datos.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

¿Cómo?

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

Imagen protección de datos en construcción obra

3. Consentimiento de Clientes

Además de actualizar la política de privacidad, las empresas de construcción e ingeniería deben tener el consentimiento expreso de todos sus clientes para poder tratar sus datos personales. Este consentimiento se puede solicitar de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la propia empresa, debe firmar un documento en el que se le informe de:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Cómo se lo comunico?

Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Asimismo, de acuerdo con el principio de Responsabilidad Proactiva que rige en la nueva normativa, el responsable del tratamiento deberá poder acreditar la obtención del consentimiento de acuerdo con los requisitos expresados anteriormente.

4. Web de empresa de construcción e ingeniería

Si tu empresa de construcción opera online o cuenta con una página web, en ella deberás incluir los textos exigidos por la Ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • Número de inscripción en el Registro mercantil (en caso de empresas)
  • CIF / NIF
  • Dirección
  • Email
  • Nª de inscripción en el Registro Mercantil o nº de colegiado, si eres autónomo.

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de tu empresa de construcción y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad habrás de informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

5. Contratos con Empleados

Es muy probable que tus empleados tengan acceso a toda o mucha de la información que manejas en tu empresa de construcción y, por tanto, deben firmar un contrato de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

Ten en cuenta, que el principal medio de comunicación entre tus empleados, ya sea entre ellos o entre ellos y los clientes, será a través del email y que eso los puede convertir en objetivo de ciberataques a través de ingeniería social o phising para conseguir robar datos o incluso llegar a bloquear tu página web.

6. Análisis de riesgos

Este es un paso importante que debes cumplir para poder adaptarse correctamente al RGPD y la LOPD.

En tu empresa de construcción debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • ¿qué tipo de datos almaceno?
  • ¿por qué medios realizo el tratamiento?
  • ¿cedo esos datos?
  • ¿los transfiero a otro país? y
  • ¿cuál es el número de interesados afectados?

Tras este análisis deberán implementar unas medidas de seguridad adecuadas.

¿Cuáles son esas medidas?

  • Medidas organizativas: por ejemplo, nombrar un DPD o hacer una evaluación de impacto.
  • Medidas técnicas: seudonimización, el cifrado, los mecanismos para garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios dedicados al tratamiento, o para restaurar el acceso en caso de incidente y, en cualquier caso, para verificar la eficacia de las mismas.

Imagen protección de datos construcción arquitectos

7. Notificar incidentes de seguridad

Las empresas obligadas a adaptarse a la Ley de Protección de Datos también deben notificar los incidentes de seguridad que se produzcan en la empresa relacionados con la posible pérdida o robo de datos.

Se informará tanto a los afectados como a la AEPD. Además, en caso de brecha de seguridad, se cuenta con plazo máximo de 72 horas para informar sobre ello a las autoridades. Es importante que cuentes con un plan o protocolo de actuación para hacer frente de forma rápida a estas situaciones.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Hay que señalar que si la empresa demuestra que está haciendo todo lo posible para cumplir con la ley, existen atenuantes ante este tipo de brechas de seguridad. Pero ten en cuenta que tu empresa es la responsable de la salvaguarda de esos datos personales y que no protegerlos debidamente o contar con las medidas para ello, puede suponer una infracción.

Preguntas frecuentes

¿Un subcontratista contratado por la empresa de construcción se considera Encargado de tratamiento?

Depende del tratamiento que realice de los datos cedidos.

Una empresa de construcción utiliza a un subcontratista para determinadas obras, al que facilita la información de contacto de los clientes cuando debe realizar las obras. El subcontratista utiliza, además, los datos para enviar material de mercadotecnia a los clientes. En este caso, el subcontratista no puede considerarse simplemente un Encargado en virtud del RGPD, puesto que no trata los datos únicamente por cuenta de la empresa de construcción, sino también para sus propios fines. El subcontratista actúa, por tanto, como Responsable del tratamiento.

¿Necesito el consentimiento de mis clientes si son empresas?

En el caso de empresas no es necesario el consentimiento para tratar sus datos. Es decir que ni datos ni nombres de empresas de ingeniería y construcción con las que vayas a trabajar son de carácter personal, puesto que las personas jurídicas están excluidas de la aplicación de dicha ley ya que se considera que sus datos son accesibles al público.

¿Es necesario recabar el consentimiento de los empleados para tratar sus datos?

Depende del tipo de datos que vamos a tratar.

Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, sí que habrá que solicitarlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.

¿Puedo guardar información de los clientes en dispositivos móviles?

Sí, puede guardarse la información en estos dispositivos. Pero deben tenerse en cuenta una serie de medidas de seguridad:

  • Bloquear el acceso con contraseñas
  • Cifrar los datos
  • Bloquear el terminal y la tarjeta SIM
  • Realizar copias de seguridad
  • Disponer de antivirus y software actualizado y
  • No utilizar redes wifi públicas

La ejecución de las obras podría retrasarse o irse al traste si nos vemos envueltos en algún incidente de seguridad que afecte a la información que tratamos en nuestros dispositivos móviles. Las pérdidas económicas y de reputación podrían ser irreparables.

¿Durante cuánto tiempo puedo conservar los datos personales de los clientes?

Los datos personales deben conservarse durante el tiempo en que sean necesarios para la finalidad para la cual se recogieron. Es decir, mientras se esté ejecutando la obra contratada.

También, una vez finalizada esa obra, deben conservarse durante el tiempo en el que pueda exigirse algún tipo de responsabilidad legal. La ley no establece un plazo específico pero, en temas fiscales, el plazo es de 5 años.

Imagen protección datos construcción planos

Modelos

Estos son todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos de las empresas de ingeniería y construcción.

Sanciones

Las infracciones que una empresa de construcción o ingeniería pueda cometer en materia de protección de datos, llevan asociadas sus correspondientes sanciones, que van desde un mínimo que puede alcanzar el 4% del volumen de negocio o 20 millones de euros. Para determinar la cuantía de la sanción se tienen en cuenta una serie de criterios de graduación:

  • el volumen de negocio de la empresa infractora,
  • el grado de intencionalidad o
  • si ha habido reincidencia en la infracción.

También se valoran los perjuicios causados a las personas interesadas o si han resultado dañados también los intereses de terceras personas.

Algunos ejemplos de sanciones impuestas por la AEPD a empresas de construcción son:

Cámaras de videovigilancia que graban la vía pública

La normativa establece que no se podrán captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el espacio que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras. Resolución AEPD R/01393/2013

Enviar correos electrónicos a varios destinatarios sin copia oculta

Cada vez que se envíen correos electrónicos a múltiples destinatarios es obligatorio hacerlo con copia oculta para evitar que cada destinatario pueda ver las direcciones de los demás. Resolución AEPD R/01979/2013

Esto es lo que necesitas para adaptar tu constructora al RGPD así que ¡manos a la obra!

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Buenos días,
    He leído el artículo, muy interesante, pero me queda una duda importante, en el caso de empresas de construcción (o reformas), cuando es el posible cliente el que llama por teléfono para solicitar un presupuesto, la práctica habitual es recoger sus datos y fijar una cita para ir a su domicilio a ver la obra que se pretende realizar y poder así presupuestarla. En este caso, en esa visita se podría hacerle firmar su consentimiento. Pero si llama, se recogen sus datos y finalmente, por muchos motivos, no se produce esa primera visita ( la anula, no se presenta, etc…) ¿qué pasa con esos datos recogidos de una persona que no será cliente nunca?
    Y en el caso de que si se realice la visita y el presupuesto, es práctica habitual, antes de entregárselo al cliente, solicitar a su vez presupuestos a proveedores y subcontratas, que no tienen por qué ser definitivamente los que realizarán la obra, ¿cómo se actúa en este caso?

    Muchísimas gracias por su aportación

    1. Buenas tardes Laura, si los datos personales de ese posible cliente no se van a utilizar para enviarle publicidad de la empresa, por ejemplo, no es necesario su consentimiento. Habría que eliminarlos.
      En el caso de los proveedores y subcontratas, estos deben firmar el contrato de encargado de tratamiento para poder acceder y tratar los datos de los clientes de la empresa. Aquí tienes el modelo de ese contrato: https://ayudaleyprotecciondatos.es/modelo-contrato-encargado-tratamiento/