Protección de datos para inmobiliarias

Como en cualquier otro negocio, las inmobiliarias tratan datos de carácter personal. Esto significa que están obligadas a cumplir con el Reglamento General de Protección de datos (RGPD) y la Ley orgánica de protección de datos personales y garantía de los derechos digitales (LOPDGDD). Pero, ¿cómo deben hacerlo? En esta guía te hablamos sobre la protección de datos para inmobiliarias. Descubre las exigencias de la normativa y cómo adaptar tu inmobiliaria a la normativa actual de protección de datos para inmobiliarias.

Obligatoriedad a cumplir con la ley de protección de datos para inmobiliarias

Las inmobiliarias son sujeto obligado para cumplir con la normativa de protección de datos ya que tratan datos de carácter personal como pueden ser datos de clientes, proveedores, empleados, usuarios de la página web, datos económicos, nóminas, etc.

El RGPD entiende por datos de carácter personal, toda información sobre una persona física identificada o identificable. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Normativa que afecta a las agencias inmobiliarias

Las normativas que regulan la protección de datos son:

  • El Reglamento General de Protección de datos
  • Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales
  • Ley de Servicios de la Sociedad de Información
  • Así como otras normativas sectoriales

El RGPD, establece una serie de obligaciones a entidades que para el desarrollo de su actividad traten datos de carácter personal. En primer lugar, sería necesario hablar del Registro de actividades, es un “inventario” de las categorías de datos que trata la empresa (nóminas, clientes, proveedores, video vigilancia, etc.)

A la hora de recoger datos de carácter personal es obligatorio contar con el consentimiento del titular de los datos, éste debe ser informado, explícito y voluntario, ya no sería suficiente con el consentimiento tácito o contar con otras bases de legitimación como puede ser la contractual o el interés legítimo de la compañía.

Un punto importante es el deber de informar por parte de las empresas a los usuarios sobre el tratamiento de los datos de carácter personal. La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado. Los procedimientos de recogida de información pueden ser muy variados, algunas de las formas más habituales de recogida de datos serían; Formulario en papel, formulario web, entrevista telefónica, etc.

En el momento de informar, es obligatorio poner en conocimiento del usuario la finalidad, que base legal se emplea, durante cuánto tiempo, si ceden datos a terceros, y las vías para ejercer los derechos (acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición, derecho a no ser objeto de decisiones individuales automatizadas).

Por último y no por ello menos importante, es necesario hablar de la responsabilidad proactiva. Ésta implica que los responsables del tratamiento de datos apliquen las medidas técnicas y organizativas adecuadas, no solo para cumplir con la normativa, sino para demostrar su cumplimiento antes las autoridades de control e interesados.

¿Quieres saber si tu empresa cumple con la LOPD?¿Quieres saber si tu empresa cumple con la LOPD?

¿Quieres saber si tu empresa cumple con la LOPD?

CONTACTA AHORA CON UN EXPERTO

Adaptación

Adaptación de las inmobiliarias a la ley de protección de datos

Las inmobiliarias, tratan cantidad de datos de carácter personal por lo que tienen que cumplir con la normativa de protección de datos.

En las inmobiliarias se realizan actividades tales como las operaciones de compraventa, captación de clientes, contratación empleados y/o empresas externas, financiación, alquileres.

A la hora de realizar cualquier operación antes mencionada se tratan multitud de datos de carácter personal. Para el correcto manejo de estos datos, es preciso cumplir con la normativa de protección de datos.

Para realizar la adaptación a la normativa de protección de datos para inmobiliarias, sería necesario conocer que categorías de datos trata. Las principales actuaciones que debe realizar una inmobiliaria para adaptarse al RGPD son:

  • Elaborar un Registro de Actividades; Es un inventario de las categorías de datos que trata la empresa. Dicho registro deberá contener toda la información indicada a continuación: El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos; Los fines del tratamiento; Descripción de las categorías de interesados y de las categorías de datos personales; Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales; Las transferencias de datos personales a un tercer país o una organización internacional; Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos; Una descripción general de las medidas técnicas y organizativas de seguridad.
  • Elaborar un contrato de confidencialidad con los empleados (en caso de tenerlos), ya que éstos tienen acceso a toda la información que maneja la inmobiliaria. Sería conveniente tener en cuenta en este caso una política de acceso y segmentación de diferentes perfiles, ya que no todos los empleados tienen porque tener acceso a cierta información de la empresa, únicamente a aquella necesaria para el cumplimiento de sus funciones. Otro punto importante sería la elaboración de un contrato de cesión de derechos de imagen, cuando la imagen de los trabajadores vaya a utilizarse para subirla a la página web, publicidad, eventos, etc. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales. Se deberá además establecer instrucciones sobre como tratar la información, así como protocolos de actuación en caso de que se puedan producir determinados eventos que afecten a datos personales.
  • Se ha de elaborar y firmar un contrato con todas aquellas empresas que tengan acceso a sus datos (Gestoría, mantenimiento web, autónomos colaboradores, etc.). Estas empresas son las denominadas encargadas de tratamiento.
  • En la captación de nuevos clientes se ha informar del tratamiento de los datos, la finalidad y contar con su consentimiento, donde pueden ejercitar sus derechos. (acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición, derecho a no ser objeto de decisiones individuales automatizadas).
  • Se han elaborar e incorporar los textos legales de la página web (Aviso legal, Política de Privacidad, Política de cookies). En el Aviso legal se identifica el propietario de la página web. En la política de privacidad se informa al usuario como van a ser tratados sus datos de carácter personal, con que finalidad van a ser tratados, el plazo de conservación de los mismos, la base legal para el tratamiento, cesión de los datos a terceros, ejercicio de derechos. Y por último, en la política de cookies, es obligatorio informar al usuario sobre el tipo de cookies utilizadas, dándole opción a configurar y rechazar las mismas para la instalación de las mismas en el navegador del usuario.
  • Notificar las brechas de seguridad (Cualquier perdida o sustracción de datos de carácter personal) cuando impliquen un riesgo elevado, en el plazo máximo de 72h a contar desde el momento que se tuvo constancia notificar a la autoridad de control, que en este caso es la AEPD.
  • Elaborar evaluaciones de impacto (Herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se van a llevar a cabo con los mismos) para minimizar las posibilidades de perjudicar a los derechos o libertados de los interesados.
  • Realización de análisis de riesgos. En tu inmobiliaria se ha de tener en cuenta los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones; Medios de tratamiento, cesiones, transferencias internacionales. Tras el análisis se deberán implementar las medidas de seguridad adecuadas.
  • Nombramiento de un DPD. El nombramiento de un DPD puede ser de carácter obligatorio o voluntario. Las inmobiliarias en principio no son sujeto obligado de tener un DPD, sin embargo al ser sujeto obligado por la normativa de Prevención y Blanqueo de Capitales, y por lo tanto tratar datos de una sensibilidad elevada, podría ser recomendable su nombramiento. El DPD puede ser alguien de la propia empresa con formación y conocimientos en la materia o puede contratarse de forma externa.
Sanciones

Sanciones por no cumplir con la ley de protección de datos en el sector inmobiliario

Todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación.

De conformidad con la nueva normativa, evadir los preceptos legales del RGPD puede suponer multas de hasta 20 millones de euros o 4% de la facturación global de la compañía. El Reglamento contempla la posibilidad de sustituir las sanciones RGPD por un apercibimiento. Esto consiste en una notificación para que el infractor adopte las medidas correctoras que en ella se le indiquen. La Agencia Española de Protección de Datos es quien debe decidir si impone una sanción económica o un apercibimiento, en función de la naturaleza de los hechos sancionados. Cuando recibimos un apercibimiento, tenemos que acreditar que hemos tomado las medidas solicitadas por la Agencia. Si no lo hacemos, podemos enfrentarnos a una multa de hasta 20 millones de euros según el Reglamento General de Protección de Datos.

La LOPDGDD, establece tres categorías de infracciones:

  • Son infracciones leves por ejemplo el incumplimiento del principio de transparencia de la información, no atender las solicitudes de ejercicio de los derechos, disponer de un Registro de actividades de tratamiento que no incorpore toda la información, la notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales, el incumplimiento de la obligación de documentar cualquier violación de seguridad.
  • Son infracciones graves por ejemplo el tratamiento de datos personales de un menor de edad sin recabar su consentimiento, no acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad, la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos, el incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea, La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, no cooperar con las autoridades de control en el desempeño de sus funciones.
  • Por último son consideradas infracciones muy graves, la utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello, La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica, La vulneración del deber de confidencialidad establecido en el artículo 5 de esta ley orgánica, La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del Reglamento (UE) 2016/679, No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.
FAQs

Preguntas Frecuentes

Las inmobiliarias son sujeto obligado para cumplir con la normativa de protección de datos ya que tratan datos de carácter personal como pueden ser datos de clientes, proveedores, empleados, usuarios de la página web, compraventa, alquiler, etc.

No existe un plazo legal establecido. El RGPD establece que el periodo de almacenamiento de los datos debe ser el estrictamente necesario para cumplir con la finalidad para la que se recabaron. La ley también prevé que los datos se puedan bloquear, debidamente protegidos, cuando puedan ser necesarios para la defensa jurídica, o que pudieran ser solicitados por las autoridades para el ejercicio de sus funciones.

Se podrían enviar comunicaciones comerciales siempre y cuando cuentes con el consentimiento de los usuarios, así como si se cuenta con un contrato entre las partes y se va a ofrecer productos similares al contratado. A la hora de solicitar el consentimiento para las comunicaciones comerciales, se ha de informar de la finalidad para la que se van a utilizar los datos personales. Igualmente, habrá que ofrecer medios sencillos para darse de baja del mismo.

Efectivamente se ha de cumplir con la normativa de protección de datos aunque la inmobiliaria no tenga empleados, ya que puede tratar datos de carácter personal de clientes, empresas externas, puede recoger datos personales por formularios de la página web, en solicitudes de presupuestos, etc. Por lo que no por no tener empleados está exenta de cumplir con dicha normativa.

Contáctenos

Me interesa, quiero más información

Consúltenos sin compromiso e infórmese de nuestros servicios de Consultoría Protección de Datos.

legales(Obligatorio)
INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS. Responsables: Grupo Adaptalia LEGAL- FORMATIVO S.L. | Finalidad principal: Gestionar la potencial relación comercial/profesional; atender a sus consultas y remitirle la información que nos solicita; facilitarle información respecto a los servicios y actividades de su interés | Derechos: Acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan. | Información adicional: Puede consultar la información adicional y detallada sobre nuestra Política de Privacidad
Suscribete a nuestra Newsletter