Protección de datos en Construcción e Ingeniería

Guía 2021

¿Qué ocurre con los datos personales que facilitamos a empresas de ingeniería y construcción cuando solicitamos un presupuesto? ¿Para qué pueden utilizarlo? ¿Los van a guardar? Como ocurre con otras entidades, estas empresas han de adaptarse al RGPD y la LOPDGDD. En esta guía vamos a explicar cómo cumplir la normativa de protección de datos en construcción.

Leyes que regulan a las empresas de construcción

Si nos centramos exclusivamente en el ámbito de la protección de datos, las leyes que regulan el sector de la construcción son las siguientes:

RGPD (Reglamento General de Protección de Datos), vigente a partir del 25 de mayo de 2018 en toda Europa.
LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), que adapta el RGPD al marco español
LSSI (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico), que regula el comportamiento de los agentes participantes en la sociedad de la información y sus actividades comerciales.

Obligaciones de los constructores con el RGPD y la LOPDGDD

Las principales obligaciones para adaptarse a la ley de protección de datos en ingeniería y el sector construcción, son las siguientes:

Adoptar el principio de responsabilidad proactiva, que obliga a las empresa a tomar las medidas técnicas y organizativas necesarias desde el inicio para garantizar la seguridad e integridad de los datos.
Realizar un registro de las actividades de tratamiento. La antigua LOPD obligaba a comunicar los ficheros a la AEPD (Agencia Española de Protección de Datos), pero con la nueva normativa ya no es necesario. El registro debe contener ficheros diferenciados, por ejemplo, Clientes, Proveedores, Empleados, Videovigilancia, etc.
Informar a los usuarios sobre la identidad del responsable o encargados del tratamiento, base legal y finalidad del tratamiento. plazo de conservación de los datos, cesión de datos a terceros y cómo ejercer sus derechos ARCO (ARSULIPO):
Obtener consentimiento expreso del interesado para tratar sus datos personales. Este consentimiento ha de ser inequívoco, explícito, voluntario e informado.

Estas son las principales obligaciones sobre protección de datos en el sector construcción, pero no las únicas. En el siguiente punto profundizamos un poco más sobre las exigencias del RGPD y la LOPDGDD.

Cómo adaptar mi empresa de construcción o ingeniería a la protección de datos

Como hemos dicho al principio, como cualquier otra entidad, una empresa de construcción e ingeniería tiene que cumplir con LOPD y adaptarse al RGPD, puesto que manejan tanto de sus clientes como de proveedores y empleados, además de aquellas otras empresas a las que puedan llegar a subcontratar.

Debes tener en cuenta que cada vez que un cliente te facilita sus datos, ya sea para elaborar un presupuesto para contratar una obra, así como los contratos que firmas con otras empresas o profesionales externos la prestación de servicios de mantenimiento, o cuando cedes los datos de tus empleados para elaborar sus nóminas, estas manejando datos de carácter personal de tercero y actualmente, esto exige que cumplas con la normativa de protección de datos vigentes, entre ellas, adaptar tu empresa al RGPD. Para ello, estas son las principales acciones que debes llevar a cabo:

Realizar un Registro de actividades de tratamiento
Firmar los contratos con terceros
Firmar los contratos con los empleados
Incluir los textos legales en la página web
Solicitar el consentimiento a los clientes
Realizar un Análisis de riesgos
Notificar las brechas de seguridad

A continuación te explico detalladamente cada una de esas actuaciones.

Pasos cumplir ley lopd rgpd en construcción e ingeniería

Registro de tratamientos

Para llevar a cabo el registro de actividades tratamiento de datos de una empresa constructora o de ingeniería, lo primero que hay que tener en cuenta es saber qué tipos de datos se manejan y en qué cantidad. Además, el registro incluirá la siguiente información:

Tipo de datos almacenados
Finalidad
Legitimados
Política de almacenamiento de esos datos
Si se realizan cesiones o transferencias internacionales
Medios a través de los que se realiza el tratamiento

Este registro de tratamiento deberá estar continuamente actualizado y a disposición de la autoridad de datos, en España es la AEPD, si esta lo solicita en caso de inspección.

Las empresas de ingeniería y construcción suelen tratar de manera habitual los siguientes datos:

Clientes
Proveedores
Contabilidad
Recursos Humanos
Curriculum
Videovigilancia

modelos

Descarga aquí todos los modelos gratis para tu empresa de construcción

Contratos con Encargados de tratamiento

En el momento en que necesitas ceder los datos personales de tus clientes, proveedores o empleados con terceros, necesitas realizar un contrato de encargado de tratamiento con ellos. Esta situación se produce, por ejemplo, cuando contratas una gestoría para que se ocupe de las cuestiones laborales y fiscales de tu empresa o contratas a un albañil autónomo para que se encargue de algunas obras o una empresa informática de llevar el mantenimiento de tus ordenadores. En todos esos casos, estás dando acceso a datos personales a terceros, de los que también debes asegurarte de que tratan correctamente dichos datos.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Es necesario firmar un contrato de encargo de tratamiento con los terceros que tengan acceso a datos de clientes, empleados o proveedores, en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Consentimiento de Clientes

Las empresas de construcción e ingeniería deben obtener el consentimiento expreso de todos sus clientes para poder tratar sus datos personales. Este consentimiento se puede solicitar de dos formas:

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
En caso de que el cliente facilite sus datos personalmente en la propia empresa, debe firmar un documento en el que se le informe de:
- responsable del tratamiento,
- finalidad para la que se van a usar los datos,
- si se van a ceder a terceros y
- medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

¿Cómo se lo comunico?

Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Asimismo, de acuerdo con el principio de Responsabilidad Proactiva que rige en la nueva normativa, el responsable del tratamiento deberá poder acreditar la obtención del consentimiento de acuerdo con los requisitos expresados anteriormente.

Web de empresa de construcción e ingeniería

Si tu empresa de construcción opera online o cuenta con una página web, en ella deberás incluir los textos exigidos por la Ley de Protección de Datos y la LSSI. Estos textos se han de incluir en un apartado propio de la web, fácilmente visible para el usuario.

Aviso legal: para identificar al propietario de la web. Ha de incluir el nombre del propietario, domicilio social, NIF, email, número de inscripción en el registro mercantil, etc.
Política de privacidad: informa sobre el tratamiento de datos que realiza la empresa de construcción o ingeniería. Dene incluir la identidad del responsable, la finalidad del tratamiento, el plazo de conservación de datos, si existe cesión de datos a terceros y vías para que el usuario ejerza sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Política de cookies: se ha de incluir un aviso en la web informando sobre las cookies que se almacenan. El usuario ha de dar su consentimiento expreso para poder colocar cookies en su navegador.

Contratos con Empleados

Es muy probable que tus empleados tengan acceso a toda o mucha de la información que manejas en tu empresa de construcción. Por tanto, para cumplir con la protección de datos en construcción los empleados deben firmar un contrato de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

Ten en cuenta, que el principal medio de comunicación entre tus empleados, ya sea entre ellos o entre ellos y los clientes, será a través del email y que eso los puede convertir en objetivo de ciberataques a través de ingeniería social o phising para conseguir robar datos o incluso llegar a bloquear tu página web.

Análisis de riesgos

Este es un paso importante que debes cumplir para poder cumplir la protección de datos en ingeniería.

En tu empresa de construcción debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:

¿Qué tipo de datos almaceno?
¿Por qué medios realizo el tratamiento?
¿Cedo esos datos?
¿Los transfiero a otro país? y
¿Cuál es el número de interesados afectados?

Tras este análisis deberán implementar unas medidas de seguridad adecuadas.

Medidas organizativas: por ejemplo, nombrar un DPD o hacer una evaluación de impacto.
Medidas técnicas: seudonimización, el cifrado, los mecanismos para garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios dedicados al tratamiento, o para restaurar el acceso en caso de incidente y, en cualquier caso, para verificar la eficacia de las mismas.

Imagen protección de datos construcción arquitectos

Notificar incidentes de seguridad

Las empresas obligadas a adaptarse a la Ley de Protección de Datos también deben notificar los incidentes de seguridad que se produzcan en la empresa relacionados con la posible pérdida o robo de datos.

Se informará tanto a los afectados como a la AEPD. Además, en caso de brecha de seguridad, se cuenta con plazo máximo de 72 horas para informar sobre ello a las autoridades. Es importante que cuentes con un plan o protocolo de actuación para hacer frente de forma rápida a estas situaciones.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Hay que señalar que si la empresa demuestra que está haciendo todo lo posible para cumplir con la ley, existen atenuantes ante este tipo de brechas de seguridad. Pero ten en cuenta que tu empresa es la responsable de la salvaguarda de esos datos personales y que no protegerlos debidamente o contar con las medidas para ello, puede suponer una infracción.

Sanciones por incumplimiento

Las sanciones por no cumplir la protección de datos en empresas de ingeniería y construcción pueden alcanzar el 4% del volumen de negocio o 20 millones de euros. Para determinar la cuantía de la sanción se tienen en cuenta una serie de criterios de graduación:

Volumen de negocio de la empresa infractora,
Grado de intencionalidad
Reincidencia en la infracción.

También se valoran los perjuicios causados a las personas interesadas o si han resultado dañados también los intereses de terceras personas.

Modelos

Estos son todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos de las empresas de ingeniería y construcción.

Contrato con terceros
Página web
Compromiso confidencialidad empleados
Consentimientos
- Consentimiento clientes
- Consentimiento CV
Videovigilancia
- Carteles Videovigilancia
- Información a trabajadores de instalación de Videovigilancia
Comunicaciones
- Correos electrónicos
- Facturas

Preguntas frecuentes

¿Un subcontratista contratado por la empresa de construcción se considera Encargado de tratamiento?

Depende del tratamiento que realice de los datos cedidos.

Una empresa de construcción utiliza a un subcontratista para determinadas obras, al que facilita la información de contacto de los clientes cuando debe realizar las obras. El subcontratista utiliza, además, los datos para enviar material de mercadotecnia a los clientes. En este caso, el subcontratista no puede considerarse simplemente un Encargado en virtud del RGPD, puesto que no trata los datos únicamente por cuenta de la empresa de construcción, sino también para sus propios fines. El subcontratista actúa, por tanto, como Responsable del tratamiento.

¿Necesito el consentimiento de mis clientes si son empresas?

En el caso de empresas no es necesario el consentimiento para tratar sus datos. Es decir que ni datos ni nombres de empresas de ingeniería y construcción con las que vayas a trabajar son de carácter personal, puesto que las personas jurídicas están excluidas de la aplicación de dicha ley ya que se considera que sus datos son accesibles al público.

¿Es necesario recabar el consentimiento de los empleados para tratar sus datos?

Depende del tipo de datos que vamos a tratar.

Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, sí que habrá que solicitarlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.

¿Puedo guardar información de los clientes en dispositivos móviles?

Sí, puede guardarse la información en estos dispositivos. Pero deben tenerse en cuenta una serie de medidas de seguridad:

Bloquear el acceso con contraseñas
Cifrar los datos
Bloquear el terminal y la tarjeta SIM
Realizar copias de seguridad
Disponer de antivirus y software actualizado y
No utilizar redes wifi públicas

La ejecución de las obras podría retrasarse o irse al traste si nos vemos envueltos en algún incidente de seguridad que afecte a la información que tratamos en nuestros dispositivos móviles. Las pérdidas económicas y de reputación podrían ser irreparables.

¿Durante cuánto tiempo puedo conservar los datos personales de los clientes?

Los datos personales deben conservarse durante el tiempo en que sean necesarios para la finalidad para la cual se recogieron. Es decir, mientras se esté ejecutando la obra contratada.

También, una vez finalizada esa obra, deben conservarse durante el tiempo en el que pueda exigirse algún tipo de responsabilidad legal. La ley no establece un plazo específico pero, en temas fiscales, el plazo es de 5 años.

¿Dónde encontrar un especialista en protección de datos para construcción e ingeniería?

Lo mejor para contar con un especialista en protección de datos para ingeniería y construcción es contactar con una consultora especializada en protección de datos.

En nuestra página web tienes un buscador de empresas de protección de datos en el que podrás encontrar las que mejor se adapten a tus necesidades..

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

También te puede interesar

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Siempre activado

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.

Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.

Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.

Cumple el RGPD y la LOPDGDD

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en protección de datos para resolver todas tus dudas.