Protección de datos en Construcción e Ingeniería
Guía 2021
¿Qué ocurre con los datos personales que facilitamos a empresas de ingeniería y construcción cuando solicitamos un presupuesto? ¿Para qué pueden utilizarlo? ¿Los van a guardar? Como ocurre con otras entidades, estas empresas han de adaptarse al RGPD y la LOPDGDD. En esta guía vamos a explicar cómo cumplir la normativa de protección de datos en construcción.
Leyes que regulan a las empresas de construcción
Si nos centramos exclusivamente en el ámbito de la protección de datos, las leyes que regulan el sector de la construcción son las siguientes:
- RGPD (Reglamento General de Protección de Datos), vigente a partir del 25 de mayo de 2018 en toda Europa.
- LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), que adapta el RGPD al marco español
- LSSI (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico), que regula el comportamiento de los agentes participantes en la sociedad de la información y sus actividades comerciales.
Obligaciones de los constructores con el RGPD y la LOPDGDD
Las principales obligaciones para adaptarse a la ley de protección de datos en ingeniería y el sector construcción, son las siguientes:
- Adoptar el principio de responsabilidad proactiva, que obliga a las empresa a tomar las medidas técnicas y organizativas necesarias desde el inicio para garantizar la seguridad e integridad de los datos.
- Realizar un registro de las actividades de tratamiento. La antigua LOPD obligaba a comunicar los ficheros a la AEPD (Agencia Española de Protección de Datos), pero con la nueva normativa ya no es necesario. El registro debe contener ficheros diferenciados, por ejemplo, Clientes, Proveedores, Empleados, Videovigilancia, etc.
- Informar a los usuarios sobre la identidad del responsable o encargados del tratamiento, base legal y finalidad del tratamiento. plazo de conservación de los datos, cesión de datos a terceros y cómo ejercer sus derechos ARCO (ARSULIPO):
- Obtener consentimiento expreso del interesado para tratar sus datos personales. Este consentimiento ha de ser inequívoco, explícito, voluntario e informado.
Estas son las principales obligaciones sobre protección de datos en el sector construcción, pero no las únicas. En el siguiente punto profundizamos un poco más sobre las exigencias del RGPD y la LOPDGDD.
Cómo adaptar mi empresa de construcción o ingeniería a la protección de datos
Como hemos dicho al principio, como cualquier otra entidad, una empresa de construcción e ingeniería tiene que cumplir con LOPD y adaptarse al RGPD, puesto que manejan tanto de sus clientes como de proveedores y empleados, además de aquellas otras empresas a las que puedan llegar a subcontratar.
Debes tener en cuenta que cada vez que un cliente te facilita sus datos, ya sea para elaborar un presupuesto para contratar una obra, así como los contratos que firmas con otras empresas o profesionales externos la prestación de servicios de mantenimiento, o cuando cedes los datos de tus empleados para elaborar sus nóminas, estas manejando datos de carácter personal de tercero y actualmente, esto exige que cumplas con la normativa de protección de datos vigentes, entre ellas, adaptar tu empresa al RGPD. Para ello, estas son las principales acciones que debes llevar a cabo:
- Realizar un Registro de actividades de tratamiento
- Firmar los contratos con terceros
- Firmar los contratos con los empleados
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los clientes
- Realizar un Análisis de riesgos
- Notificar las brechas de seguridad
A continuación te explico detalladamente cada una de esas actuaciones.
Registro de tratamientos
Para llevar a cabo el registro de actividades tratamiento de datos de una empresa constructora o de ingeniería, lo primero que hay que tener en cuenta es saber qué tipos de datos se manejan y en qué cantidad. Además, el registro incluirá la siguiente información:
- Tipo de datos almacenados
- Finalidad
- Legitimados
- Política de almacenamiento de esos datos
- Si se realizan cesiones o transferencias internacionales
- Medios a través de los que se realiza el tratamiento
Este registro de tratamiento deberá estar continuamente actualizado y a disposición de la autoridad de datos, en España es la AEPD, si esta lo solicita en caso de inspección.
Las empresas de ingeniería y construcción suelen tratar de manera habitual los siguientes datos:
- Clientes
- Proveedores
- Contabilidad
- Recursos Humanos
- Curriculum
- Videovigilancia
Descarga aquí todos los modelos gratis para tu empresa de construcción
Contratos con Encargados de tratamiento
En el momento en que necesitas ceder los datos personales de tus clientes, proveedores o empleados con terceros, necesitas realizar un contrato de encargado de tratamiento con ellos. Esta situación se produce, por ejemplo, cuando contratas una gestoría para que se ocupe de las cuestiones laborales y fiscales de tu empresa o contratas a un albañil autónomo para que se encargue de algunas obras o una empresa informática de llevar el mantenimiento de tus ordenadores. En todos esos casos, estás dando acceso a datos personales a terceros, de los que también debes asegurarte de que tratan correctamente dichos datos.
Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
Es necesario firmar un contrato de encargo de tratamiento con los terceros que tengan acceso a datos de clientes, empleados o proveedores, en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.
¿Necesitas cumplir el RGPD?
Consentimiento de Clientes
Las empresas de construcción e ingeniería deben obtener el consentimiento expreso de todos sus clientes para poder tratar sus datos personales. Este consentimiento se puede solicitar de dos formas:
- Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En caso de que el cliente facilite sus datos personalmente en la propia empresa, debe firmar un documento en el que se le informe de:
- responsable del tratamiento,
- finalidad para la que se van a usar los datos,
- si se van a ceder a terceros y
- medio por el que puede ejercer sus derechos ARCO.
Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.
¿Cómo se lo comunico?
Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.
Asimismo, de acuerdo con el principio de Responsabilidad Proactiva que rige en la nueva normativa, el responsable del tratamiento deberá poder acreditar la obtención del consentimiento de acuerdo con los requisitos expresados anteriormente.
Web de empresa de construcción e ingeniería
Si tu empresa de construcción opera online o cuenta con una página web, en ella deberás incluir los textos exigidos por la Ley de Protección de Datos y la LSSI. Estos textos se han de incluir en un apartado propio de la web, fácilmente visible para el usuario.
- Aviso legal: para identificar al propietario de la web. Ha de incluir el nombre del propietario, domicilio social, NIF, email, número de inscripción en el registro mercantil, etc.
- Política de privacidad: informa sobre el tratamiento de datos que realiza la empresa de construcción o ingeniería. Dene incluir la identidad del responsable, la finalidad del tratamiento, el plazo de conservación de datos, si existe cesión de datos a terceros y vías para que el usuario ejerza sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
- Política de cookies: se ha de incluir un aviso en la web informando sobre las cookies que se almacenan. El usuario ha de dar su consentimiento expreso para poder colocar cookies en su navegador.
Contratos con Empleados
Es muy probable que tus empleados tengan acceso a toda o mucha de la información que manejas en tu empresa de construcción. Por tanto, para cumplir con la protección de datos en construcción los empleados deben firmar un contrato de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.
Ten en cuenta, que el principal medio de comunicación entre tus empleados, ya sea entre ellos o entre ellos y los clientes, será a través del email y que eso los puede convertir en objetivo de ciberataques a través de ingeniería social o phising para conseguir robar datos o incluso llegar a bloquear tu página web.
Análisis de riesgos
Este es un paso importante que debes cumplir para poder cumplir la protección de datos en ingeniería.
En tu empresa de construcción debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:
- ¿Qué tipo de datos almaceno?
- ¿Por qué medios realizo el tratamiento?
- ¿Cedo esos datos?
- ¿Los transfiero a otro país? y
- ¿Cuál es el número de interesados afectados?
Tras este análisis deberán implementar unas medidas de seguridad adecuadas.
- Medidas organizativas: por ejemplo, nombrar un DPD o hacer una evaluación de impacto.
- Medidas técnicas: seudonimización, el cifrado, los mecanismos para garantizar confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios dedicados al tratamiento, o para restaurar el acceso en caso de incidente y, en cualquier caso, para verificar la eficacia de las mismas.
Notificar incidentes de seguridad
Las empresas obligadas a adaptarse a la Ley de Protección de Datos también deben notificar los incidentes de seguridad que se produzcan en la empresa relacionados con la posible pérdida o robo de datos.
Se informará tanto a los afectados como a la AEPD. Además, en caso de brecha de seguridad, se cuenta con plazo máximo de 72 horas para informar sobre ello a las autoridades. Es importante que cuentes con un plan o protocolo de actuación para hacer frente de forma rápida a estas situaciones.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Hay que señalar que si la empresa demuestra que está haciendo todo lo posible para cumplir con la ley, existen atenuantes ante este tipo de brechas de seguridad. Pero ten en cuenta que tu empresa es la responsable de la salvaguarda de esos datos personales y que no protegerlos debidamente o contar con las medidas para ello, puede suponer una infracción.
Sanciones por incumplimiento
Las sanciones por no cumplir la protección de datos en empresas de ingeniería y construcción pueden alcanzar el 4% del volumen de negocio o 20 millones de euros. Para determinar la cuantía de la sanción se tienen en cuenta una serie de criterios de graduación:
- Volumen de negocio de la empresa infractora,
- Grado de intencionalidad
- Reincidencia en la infracción.
También se valoran los perjuicios causados a las personas interesadas o si han resultado dañados también los intereses de terceras personas.
Modelos
Estos son todos los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos de las empresas de ingeniería y construcción.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Preguntas frecuentes
¿Un subcontratista contratado por la empresa de construcción se considera Encargado de tratamiento?
Depende del tratamiento que realice de los datos cedidos.
Una empresa de construcción utiliza a un subcontratista para determinadas obras, al que facilita la información de contacto de los clientes cuando debe realizar las obras. El subcontratista utiliza, además, los datos para enviar material de mercadotecnia a los clientes. En este caso, el subcontratista no puede considerarse simplemente un Encargado en virtud del RGPD, puesto que no trata los datos únicamente por cuenta de la empresa de construcción, sino también para sus propios fines. El subcontratista actúa, por tanto, como Responsable del tratamiento.
¿Necesito el consentimiento de mis clientes si son empresas?
En el caso de empresas no es necesario el consentimiento para tratar sus datos. Es decir que ni datos ni nombres de empresas de ingeniería y construcción con las que vayas a trabajar son de carácter personal, puesto que las personas jurídicas están excluidas de la aplicación de dicha ley ya que se considera que sus datos son accesibles al público.
¿Es necesario recabar el consentimiento de los empleados para tratar sus datos?
Depende del tipo de datos que vamos a tratar.
Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, sí que habrá que solicitarlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.
¿Puedo guardar información de los clientes en dispositivos móviles?
Sí, puede guardarse la información en estos dispositivos. Pero deben tenerse en cuenta una serie de medidas de seguridad:
- Bloquear el acceso con contraseñas
- Cifrar los datos
- Bloquear el terminal y la tarjeta SIM
- Realizar copias de seguridad
- Disponer de antivirus y software actualizado y
- No utilizar redes wifi públicas
La ejecución de las obras podría retrasarse o irse al traste si nos vemos envueltos en algún incidente de seguridad que afecte a la información que tratamos en nuestros dispositivos móviles. Las pérdidas económicas y de reputación podrían ser irreparables.
¿Durante cuánto tiempo puedo conservar los datos personales de los clientes?
Los datos personales deben conservarse durante el tiempo en que sean necesarios para la finalidad para la cual se recogieron. Es decir, mientras se esté ejecutando la obra contratada.
También, una vez finalizada esa obra, deben conservarse durante el tiempo en el que pueda exigirse algún tipo de responsabilidad legal. La ley no establece un plazo específico pero, en temas fiscales, el plazo es de 5 años.
¿Dónde encontrar un especialista en protección de datos para construcción e ingeniería?
Lo mejor para contar con un especialista en protección de datos para ingeniería y construcción es contactar con una consultora especializada en protección de datos.
En nuestra página web tienes un buscador de empresas de protección de datos en el que podrás encontrar las que mejor se adapten a tus necesidades..
¿Necesitas cumplir el RGPD?
También te puede interesar
- Protección de datos centros educativos
- Protección de datos hostelería
- Protección de datos AMPA
- Protección de datos comunidades de propietarios
- Protección de datos peluquería
- Protección de datos para asesorías
- Protección de datos hoteles
- Protección de datos clínica dental
- Protección de datos clínica fisioterapia
- Protección de datos aseguradoras
- Protección de datos transporte
- Protección de datos taller
- Protección de datos construcción
- Protección de datos asociaciones
- Protección de datos administradores de fincas
- Protección de datos fotógrafos
- Protección de datos informática
- Protección de datos sanitarios
- Protección de datos psicólogos
- Protección de datos abogados