Protección de Datos para inmobiliarias

Guía 2021

Como cualquier otro negocio, las inmobiliarias tratan con datos personales de sus clientes, proveedores o empleados. Esto significa que están obligadas a cumplir con el RGPD y la LOPDGDD. Pero, ¿cómo deben hacerlo? En esta guía te hablamos sobre la protección de datos para inmobiliarias. Descubre las exigencias de la normativa y cómo adaptar tu inmobiliaria a la ley actual de protección de datos.

¿Es obligatorio para las inmobiliarias cumplir la ley de Protección de Datos?

SÍ. El cumplimiento de la normativa de protección de datos es obligatorio para todas aquellas empresas que traten datos personales de usuarios, clientes, proveedores, empleados, etc.

El RGOD entiende como datos personales toda aquella información que permita identificar a una persona, tanto de forma directa como indirecta. Ejemplos de datos personales serían el nombre y apellidos, domicilio, DNI, número de teléfono, dirección de correo electrónico, y un largo etcétera.

Este tipo de datos son recabados por las inmobiliarias para el desarrollo de su actividad. Por tanto, repetimos, SÍ, están 0bligadas a cumplir con la ley de protección de datos.

Normativa de Protección de Datos que afecta a las inmobiliarias

Las normas que regulan la Protección de Datos son:

  • RGPD (vigente a partir del 25 de mayo de 2018 en toda Europa).
  • LOPDGDD (adapta al marco español la normativa europea).
  • Ley LSSI (regula los servicios de la sociedad de la información y el comercio electrónico).

RGPD para inmobiliarias

El RGPD establece nuevas obligaciones para todas aquellas personas físicas o jurídicas que, para el desarrollo de sus actividades, realicen un tratamiento de datos personales.

Una de ellas es la de llevar un registro de actividades del tratamiento. Ya no es necesario comunicar los ficheros a la AEPD (Agencia Española de Protección de Datos). En su lugar, las inmobiliarias han de contar con un registro en el que se almacenen los distintos datos personales en diferentes ficheros.

Otro punto importante es el deber de informar a los usuarios sobre el tratamiento de datos que se realizan. Los negocios inmobiliarios han de informar a usuarios, clientes, empleados o proveedores sobre los datos que almacenan, con qué finalidad, durante cuánto tiempo, si los ceden a terceros, y las vías para ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Más novedades. A partir de la entrada en vigor del RGPD, es obligatorio obtener el consentimiento expreso del titular de los datos para poder recabar sus datos personales. Ya no sirve con el consentimiento tácito, sino que debe ser explícito, voluntario e informado.

Por otra parte, la nueva normativa de protección de datos incorpora el concepto de responsabilidad proactiva. Esto es, que desde el principio, los agentes involucrados en el tratamiento de datos, han de poner en marcha las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y su protección frente a robos, pérdidas o accesos no autorizados.

LOPD para inmobiliarias

La LOPDGDD (antigua LOPD) es la nueva ley de protección de datos vigente en España, que adapta al marco español lo dispuesto en el RGPD.

El RGPD plantea una serie de reglas generales, que luego cada país puede matizar y adaptar a su propio contexto, siempre y cuando no vaya en contra de la normativa europea. Por tanto, todas las obligaciones y exigencias que marca el RGPD también están recogidas en la LOPDGDD, aunque de manera más concreta.

Dicho de otra manera, las exigencias del RGPD también están recogidas en la LOPDGDD, y si cumples una normativa, también cumplirás la otra.

En el siguiente punto te ampliamos toda esta información y te contamos cómo cumplir con la ley de protección de datos para inmobiliarias.

¿Cómo adaptar una inmobiliaria a la normativa de protección de datos?

Las inmobiliarias manejan una gran cantidad de datos de clientes, empleados y proveedores, por lo que también tendrán que adaptarse a la normativa de protección de datos para empresas.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

En tu inmobiliaria seguro que realizas actividades de captación de clientes, operaciones de compra, venta o alquiler de inmuebles, y contratación de suministros, contratación de profesionales, financiación, etc. Dentro de estas actuaciones recopilas muchos datos personales.

Cada vez que un cliente te deja sus datos para la compra o venta de un inmueble, contratas con los profesionales y empresas externas servicios de mantenimiento, o cedes los datos de sus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar una inmobiliaria para adaptarse al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Incluir los textos legales en la página web
  4. Solicitar el consentimiento a los clientes
  5. Firmar los contratos con los empleados
  6. Realizar un Análisis de riesgos
  7. Elaborar una Evaluación de impacto
  8. Notificar las brechas de seguridad
  9. Nombrar un DPD

A continuación te explico detalladamente cada una de esas actuaciones.

pasos cumplir ley lopd rgpd inmobiliarias

Registro de actividades de tratamiento

Para cumplir la normativa de protección de datos en inmobiliarias es necesario llevar un registro de las actividades de tratamiento, indicando en cada fichero de qué tipo de datos se trata:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si se realizan cesiones o transferencias internacionales
  • Medios a través de los que se realiza el tratamiento

Este registro de actividad debes mantenerlo siempre actualizado. La AEPD te lo pedirá si tienes una inspección.

¿Qué es eso de los tratamientos?

Es cualquier operación que realices con los datos, como modificación, consulta, utilización, cancelación, bloqueo o supresión de datos.

Los tratamientos más habituales en las inmobiliarias son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Empleados
  • Curriculum
  • Videovigilancia

Contratos con terceros

¿Trabajas con una asesoría para temas fiscales o laborales? ¿O con una empresa que lleva el mantenimiento informático? En casos como estos, estás cediendo datos a terceros.

Debes asegurarte de que esos terceros también cumplan la normativa obligatoria. Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Página web

Si operas online, debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal: en él se identifica al propietario de la web
  • Política de privacidad: se informa al usuario sobre el tratamiento que se hará de sus datos personales: qué datos se recaban, con qué finalidad, base legal para el tratamiento, plazo de conservación de datos, cesión a terceros, o ejercicio de los derechos ARCO.
  • Política de cookies: es obligatorio informar al usuario sobre el tipo de cookies utilizadas y solicitar consentimiento expreso para colocar una cookie en su navegador.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Consentimiento de clientes

Otra de las obligaciones en la protección de datos para inmobiliarias es obtener el consentimiento expreso de los clientes para tratar sus datos.

Por consentimiento expreso se entiende que el usuario ha de realizar una acción explícita e inequívoca para que el responsable del tratamiento pueda almacenar o usar sus datos, por ejemplo, marcar una casilla o check box.

Además, si existen varias finalidades para el tratamiento, el usuario debe otorgar consentimiento para cada una de ellas por separado.

Este consentimiento puedes solicitarlo de dos formas:

  • Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el cliente facilite sus datos personalmente en la inmobiliaria, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Contratos con empleados

Los empleados tienen acceso a toda la información que maneja la inmobiliaria y, por tanto, deben firmar una cláusula de confidencialidad para evitar que esa información sea revelada a personas no autorizadas.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

Análisis de riesgos

En tu inmobiliaria debes también realizar un análisis de riesgos en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • Tipo de datos
  • Naturaleza de los datos
  • Medios de tratamiento
  • Cesiones
  • Transferencias internacionales y
  • Número de interesados afectados;

Tras este análisis deberás implementar unas medidas de seguridad adecuadas. En nuestra web puedes consultar un ejemplo de análisis de riesgos en protección de datos.

Evaluación de impacto

Si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados.

Es raro que una inmobiliaria necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que maneje o el volumen de esos datos, exista un riesgo alto y necesite realizarla. Por ejemplo, en el caso de que accedan a datos financieros o de crédito de los clientes (rentas, créditos, etc.).

Aquellas inmobiliarias que realizan procesos automatizados de elaboración de perfiles de sus clientes para segmentarlos en función de sus edades, poder adquisitivo, intereses, sus gustos y preferencias mostradas con su navegación, que puedan producir efectos jurídicos o afectar significativamente en las personas, deberán realizar una evaluación de impacto.

¿En qué consiste esta EIPD? Es un informe en que se determinan las siguiente cuestiones:

  • Valorar la idoneidad, necesidad y proporcionalidad de ese tratamiento,
  • Determinar los riesgos que entraña para los derechos y libertades de los interesados,
  • Adoptar las medidas y garantías adecuadas para reducir los riesgos, y
  • Evitar que dicho tratamiento resulte demasiado invasivo, atente contra los derechos y libertades de las personas y se les cause daños o perjuicios.

Consulta en nuestra web un modelo de informe final de una EIPD.

Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de las brechas de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que tengas un ciberataque o infracción de seguridad en la inmobiliaria, debes estar prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Es importante destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Nombrar un DPD

Aunque el RGPD no incluye a las empresas de servicios inmobiliarios dentro de las que deben contar con un Delegado de Protección de Datos obligatorio, en la LOPDGDD se establece que deben contratar un DPD aquellas empresas que tengan la obligación de cumplir la legislación sobre prevención y blanqueo de capitales.

Y las inmobiliarias deben cumplir esa ley, por lo que están obligadas a contratar un DPD.

El DPD puede ser alguien de la propia empresa con formación y conocimientos en la materia o puede contratarse de forma externa.

Sanciones si no adaptas correctamente tu inmobiliaria al RGPD/LOPDGDD

El RGPD establece tres categorías de sanciones en función de la gravedad de la infracción, el beneficio obtenido, el perjuicio causado, la extensión de la conducta en el tiempo o la voluntad para corregir el comportamiento ilíicot.

En concreto, distingue entre:

  • Infracciones Leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € a 20.000.000 €

En el caso de las infracciones muy graves, suelen ser impuestas a grandes empresas multinacionales. En estos casos, las sanciones de 20 millones de euros podrían no ser suficientes, por lo que se podrían multar con un importe de hasta el 4% de su facturación anual.

Modelos

Te dejamos una serie de modelos que te van a ser de mucha ayuda para el correcto cumplimiento de la normativa de Protección de Datos en tu inmobiliaria.

 

Preguntas frecuentes

¿Cuáles son los datos personales a proteger en una inmobiliaria?

Principalmente, datos sobre usuarios potenciales, clientes, proveedores, empleados o videovigilancia.

Hay que tener en cuenta que las inmobiliarias pueden ceder datos a terceros para financiación, servicios de mantenimiento, o asesorías para gestión de nóminas, entre otros casos. Es imprescindible que todos estos datos estén adecuadamente protegidos.

¿Puedo enviar comunicaciones comerciales a mis clientes?

Puedes enviarlas siempre que tengas el consentimiento expreso de los clientes para ello. A la hora de solicitar el consentimiento es necesario indicar específicamente las finalidades para las que van a utilizarse los datos personales.

Si son clientes anteriores y no habían firmado ningún consentimiento, es necesario que lo firmen. Por tanto, todas las inmobiliarias deberán contar con procedimientos que permitan a sus clientes y usuarios aceptar de manera libre e inequívoca el uso y tratamiento de sus datos.

¿Y si los clientes me llegan a través de portales como Idealista o Fotocasa?

En ese caso deben ser esos portales los que incluyan los textos legales y su política de privacidad y soliciten el consentimiento al usuario al facilitar sus datos. Tú solo debes pedir el consentimiento cuando vayas a tratar esos datos, por ejemplo, para solicitarle o enviarle información.

¿Cómo debo tratar los currículum que me dejan en la inmobiliaria?

En el caso de que una persona nos entregue su currículum debemos:

  • Informarle de que lo vamos a guardar
  • Facilitarle el ejercicio de sus derechos ARCO, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

¿Es necesario recabar el consentimiento de los trabajadores para tratar sus datos?

Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, si que habrá que hacerlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.

¿Cuánto tiempo puedo conservar los datos de los propietarios o inquilinos?

No hay un plazo legal establecido. El RGPD establece que solo se podrán almacenar los datos de usuarios durante el tiempo necesario para cumplir la finalidad para la que fueron recabados.

La ley también prevé que los datos se puedan conservar, debidamente protegidos, aquellos datos que pudieran ser necesarios para la defensa jurídica, o que pudieran ser solicitados por las autoridades para el ejercicio de sus funciones.

Esto ha sido todo sobre la protección de datos para inmobiliarias. Si necesitas ayuda, ponte en contacto con nosotros y solicita presupuesto sin compromiso.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.