Negocios de venta o alquiler de vivienda
Como cualquier en otro negocio, se tratan con datos personales de sus clientes, proveedores o empleados. Esto significa que están obligadas a cumplir con el RGPD y la LOPDGDD. Pero, ¿cómo deben hacerlo? En esta guía te hablamos sobre las exigencias de la normativa y cómo adaptar tu negocio de venta o alquiler a la ley actual.
¿Cómo adaptar un negocio de venta o alquiler de vivienda a la normativa vigente?
Las principales actuaciones a realizar para adaptarse al RGPD son:
- Realizar un Registro de actividades de tratamiento
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los clientes
- Firmar los contratos con los empleados
- Realizar un Análisis de riesgos
- Elaborar una Evaluación de impacto
- Notificar las brechas de seguridad
- Nombrar un DPD
A continuación te explico detalladamente cada una de esas actuaciones.
Registro de actividades de tratamiento
En primer lugar, es necesario llevar un registro de las actividades de tratamiento, indicando en cada fichero de qué tipo de datos se trata:
- Tipo de datos almacenados
- Finalidad
- Legitimados
- Política de almacenamiento de esos datos
- Si se realizan cesiones o transferencias internacionales
- Medios a través de los que se realiza el tratamiento
Este registro de actividad debes mantenerlo siempre actualizado. La AEPD te lo pedirá si tienes una inspección.
¿Qué es eso de los tratamientos?
Es cualquier operación que realices con los datos, como modificación, consulta, utilización, cancelación, bloqueo o supresión de datos.
Los tratamientos más habituales son:
- Clientes
- Proveedores
- Contabilidad
- Empleados
- Curriculum
- Videovigilancia
Contratos con terceros
¿Trabajas con una asesoría para temas fiscales o laborales? ¿O con una empresa que lleva el mantenimiento informático? En casos como estos, estás cediendo datos a terceros.
Debes asegurarte de que esos terceros también cumplan la normativa obligatoria. Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
Página web
Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:
- Aviso legal: en él se identifica al propietario de la web
- Política de privacidad: se informa al usuario sobre el tratamiento que se hará de sus datos personales: qué datos se recaban, con qué finalidad, base legal para el tratamiento, plazo de conservación de datos, cesión a terceros, o ejercicio de los derechos ARCO.
- Política de cookies: es obligatorio informar al usuario sobre el tipo de cookies utilizadas y solicitar consentimiento expreso para colocar una cookie en su navegador.
¿Necesitas cumplir el RGPD?
Consentimiento de clientes
Otra de las obligaciones es obtener el consentimiento expreso de los clientes para tratar sus datos.
Por consentimiento expreso se entiende que el usuario ha de realizar una acción explícita e inequívoca para que el responsable del tratamiento pueda almacenar o usar sus datos, por ejemplo, marcar una casilla o check box.
Además, si existen varias finalidades para el tratamiento, el usuario debe otorgar consentimiento para cada una de ellas por separado.
Este consentimiento puedes solicitarlo de dos formas:
- Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En caso de que el cliente facilite sus datos personalmente, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.
Contratos con empleados
Los empleados tienen acceso a toda la información que maneja el negocio, por tanto, deben firmar una cláusula de confidencialidad para evitar que esa información sea revelada a personas no autorizadas.
También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.
Análisis de riesgos
Se debe realizar un análisis de riesgos en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,
- Tipo de datos
- Naturaleza de los datos
- Medios de tratamiento
- Cesiones
- Transferencias internacionales y
- Número de interesados afectados;
Tras este análisis deberás implementar unas medidas de seguridad adecuadas. En nuestra web puedes consultar un ejemplo de análisis de riesgos en protección de datos.
Evaluación de impacto
Si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados.
Aquellas negocios de alquiler o venta de viviendas que realizan procesos automatizados de elaboración de perfiles de sus clientes para segmentarlos en función de sus edades, poder adquisitivo, intereses, sus gustos y preferencias mostradas con su navegación, que puedan producir efectos jurídicos o afectar significativamente en las personas, deberán realizar una evaluación de impacto.
¿En qué consiste esta EIPD? Es un informe en que se determinan las siguiente cuestiones:
- Valorar la idoneidad, necesidad y proporcionalidad de ese tratamiento,
- Determinar los riesgos que entraña para los derechos y libertades de los interesados,
- Adoptar las medidas y garantías adecuadas para reducir los riesgos, y
- Evitar que dicho tratamiento resulte demasiado invasivo, atente contra los derechos y libertades de las personas y se les cause daños o perjuicios.
Consulta en nuestra web un modelo de informe final de una EIPD.
Notificar brechas de seguridad
Una de las obligaciones que establece el nuevo Reglamento es la notificación de las brechas de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.
En el caso de que tengas un ciberataque o infracción de seguridad debes estar prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Es importante destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.
Nombrar un DPD
Aunque el RGPD no incluye a estos negocios dentro de los obligados a contar con un Delegado de Protección de Datos obligatorio, en la LOPDGDD se establece que deben contratar un DPD aquellas empresas que tengan la obligación de cumplir la legislación sobre prevención y blanqueo de capitales.
Y las negocios relacionados con venta o alquiler de vivienda deben cumplir esa ley, por lo que están obligadas a contratar un DPD.
El DPD puede ser alguien de la propia empresa con formación y conocimientos en la materia o puede contratarse de forma externa.
Sanciones por incumplimiento
El RGPD establece tres categorías de sanciones en función de la gravedad de la infracción, el beneficio obtenido, el perjuicio causado, la extensión de la conducta en el tiempo o la voluntad para corregir el comportamiento ilícito.
En concreto, distingue entre:
- Infracciones Leves: multa de hasta 40.000 €
- Infracciones graves: multa de 40.001 € a 300.000 €
- Infracciones muy graves: multa entre 300.001 € a 20.000.000 €
En el caso de las infracciones muy graves, suelen ser impuestas a grandes empresas multinacionales. En estos casos, las sanciones de 20 millones de euros podrían no ser suficientes, por lo que se podrían multar con un importe de hasta el 4% de su facturación anual.
Modelos
Te dejamos una serie de modelos que te van a ser de mucha ayuda para el correcto cumplimiento de la normativa.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.