Necesito reformar el baño de mi casa.

He solicitado presupuesto en varias empresas de reformas.

Me han enviado ese presupuesto pero…. ¿y mis datos personales?

¿Van a guardar esos datos? ¿para qué los van a utilizar?

Creo que a estas alturas todos podemos entender que las leyes que regulan la protección de datos están siendo cada vez más severas por lo que es necesario que todas las empresas de construcción e ingeniería se adapten al Reglamento General de Protección de Datos.

Por eso escribo este post en el que puedes ver cómo adaptar tu empresa de construcción e ingeniería a la ley de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

Adaptación al RGPD de las empresas de construcción

Las empresas de construcción e ingeniería manejan también datos de clientes, empleados y proveedores, por lo que están obligados a adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un cliente te facilita sus datos cuando contrata una obra, acuerdas con los profesionales y empresas externas la prestación de servicios de mantenimiento, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu empresa de construcción para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Firmar los contratos con los empleados
  4. Incluir los textos legales en la página web
  5. Solicitar el consentimiento a los clientes
  6. Realizar un Análisis de riesgos
  7. Notificar las brechas de seguridad

A continuación te explico detalladamente cada una de esas actuaciones.

1. Registro de tratamientos

El RGPD sustituye la obligación de inscribir ficheros en la AEPD por la necesidad de llevar un registro interno en la empresa del tipo de tratamientos que se realizan. Este es el registro de actividades de tratamiento.

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

¿Qué hay que incluir?

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

¿Y qué más?

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado. Y presentarlo si te lo pide la AEPD en caso de inspección.

Los tratamientos más habituales en las empresas de construcción son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con Encargados de tratamiento

¿Quién son los encargados de tratamiento?

¿Has contratado una gestoría para que lleve los temas fiscales o laborales de la empresa?

¿Tienes una empresa informática que realiza el mantenimiento de los equipos?

¿Y un albañil autónomo al que le encargas determinadas obras?

Pues esos son Encargados de tratamiento.

Y tienen acceso a datos personales de tus clientes y empleados.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

¿Cómo?

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Consentimiento de Clientes

¡Ojo al dato!

Esto te interesa

Además de actualizar la política de privacidad, en tu empresa de construcción debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

¿Y cómo lo hago?

Este consentimiento puede solicitarse de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la propia empresa, debe firmar un documento en el que se le informe de:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Cómo se lo comunico?

Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Asimismo, de acuerdo con el principio de Responsabilidad Proactiva que rige en la nueva normativa, el responsable del tratamiento deberá poder acreditar la obtención del consentimiento de acuerdo con los requisitos expresados anteriormente.

4. Web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • Número de inscripción en el Registro mercantil (en caso de empresas)
  • CIF / NIF
  • Dirección
  • Email
  • Nª de inscripción en el Registro Mercantil o nº de colegiado, si eres autónomo.

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de tu empresa de construcción y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad habrás de informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, tienes que asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

5. Contratos con Empleados

¡Cuidado!

Esto no se refiere al contrato de trabajo.

Los empleados pueden tener acceso a toda la información que manejas en la empresa de construcción y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En las constructoras o empresas de ingeniería los empleados se comunican entre ellos y con clientes y proveedores a través de correo electrónico normalmente. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

6. Análisis de riesgos

Esta es una actuación importante.

No pierdas detalle.

En tu empresa de construcción debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • ¿qué tipo de datos almaceno?
  • ¿por qué medios realizo el tratamiento?
  • ¿cedo esos datos?
  • ¿los transfiero a otro país? y
  • ¿cuál es el número de interesados afectados?

Tras este análisis deberán implementar unas medidas de seguridad adecuadas.

¿Cuáles son esas medidas?

  • Medidas organizativas: por ejemplo, nombrar un DPD o hacer una evaluación de impacto.
  • Medidas técnicas: seudonimización, el cifrado, los mecanismos para garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios dedicados al tratamiento, o para restaurar el acceso en caso de incidente y, en cualquier caso, para verificar la eficacia de las mismas.

7. Notificar incidentes de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción de seguridad en la empresa de construcción, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Es importante destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

¿Lo tienes claro?

Pues no lo olvides.

Preguntas frecuentes

¿Un subcontratista contratado por la empresa de construcción se considera Encargado de tratamiento?

Depende del tratamiento que realice de los datos cedidos.

Una empresa de construcción utiliza a un subcontratista para determinadas obras, al que facilita la información de contacto de los clientes cuando debe realizar las obras. El subcontratista utiliza, además, los datos para enviar material de mercadotecnia a los clientes. En este caso, el subcontratista no puede considerarse simplemente un Encargado en virtud del RGPD, puesto que no trata los datos únicamente por cuenta de la empresa de construcción, sino también para sus propios fines. El subcontratista actúa, por tanto, como Responsable del tratamiento.

¿Necesito el consentimiento de mis clientes si son empresas?

En el caso de empresas no es necesario el consentimiento para tratar sus datos. Es posible realizar un tratamiento de esos datos sin su consentimiento ya que la normativa de Protección de Datos solo afecta a datos de personas físicas. Las personas jurídicas están excluidas de la aplicación de dicha ley ya que se considera que sus datos son accesibles al público.

¿Es necesario recabar el consentimiento de los empleados para tratar sus datos?

Depende del tipo de datos que vamos a tratar.

Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, sí que habrá que solicitarlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.

¿Puedo guardar información de los clientes en dispositivos móviles?

, puede guardarse la información en estos dispositivos. Pero deben tenerse en cuenta una serie de medidas de seguridad:

  • Bloquear el acceso con contraseñas
  • Cifrar los datos
  • Bloquear el terminal y la tarjeta SIM
  • Realizar copias de seguridad
  • Disponer de antivirus y software actualizado y
  • No utilizar redes wifi públicas

La ejecución de las obras podría retrasarse o irse al traste si nos vemos envueltos en algún incidente de seguridad que afecte a la información que tratamos en nuestros dispositivos móviles. Las pérdidas económicas y de reputación podrían ser irreparables.

¿Durante cuánto tiempo puedo conservar los datos personales de los clientes?

Los datos personales deben conservarse durante el tiempo en que sean necesarios para la finalidad para la cual se recogieron. Es decir, mientras se esté ejecutando la obra contratada.

También, una vez finalizada esa obra, deben conservarse durante el tiempo en el que pueda exigirse algún tipo de responsabilidad legal. La ley no establece un plazo específico pero, en temas fiscales, el plazo es de 5 años.

Modelos

Aquí tienes todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa de construcción o ingeniería.

Sanciones

Es importante tener en cuenta las sanciones que se pueden producir en caso de no cumplir con el Reglamento. No tienen mínimo y pueden alcanzar el 4% del volumen de negocio o 20 millones de euros, lo que sea mayor. Con la LOPD eran de un mínimo de 900 euros y un máximo de 600.000. Esto ha hecho que las empresas hayan empezado a preocuparse sobre esta normativa.

¿Te preocupan estas sanciones?

Pues intenta evitarlas.

Y no valen excusas.

Para determinar la cuantía de la sanción se tienen en cuenta una serie de criterios de graduación:

  • el volumen de negocio de la empresa infractora,
  • el grado de intencionalidad o
  • si ha habido reincidencia en la infracción.

También se valoran los perjuicios causados a las personas interesadas o si han resultado dañados también los intereses de terceras personas.

Algunos ejemplos de sanciones impuestas por la AEPD a empresas de construcción son:

Cámaras de videovigilancia que graban la vía pública

La normativa establece que no se podrán captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el espacio que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras. Resolución AEPD R/01393/2013

Enviar correos electrónicos a varios destinatarios sin copia oculta

Cada vez que se envíen correos electrónicos a múltiples destinatarios es obligatorio hacerlo con copia oculta para evitar que cada destinatario pueda ver las direcciones de los demás. Resolución AEPD R/01979/2013

Esto es lo que necesitas para adaptar tu constructora al RGPD así que ¡manos a la obra!

¿Necesitas cumplir el RGPD?

¿Cómo cumplir el RGPD en empresas de construcción e ingeniería?
4.8 (95%) 8 votos