Los datos son uno de los bienes más preciados en el contexto actual, pero un mal uso puede tener consecuencias muy graves para las empresas. Solo en 2019 hubo más de 11.000 reclamaciones ante la Agencia Española de Protección de Datos. Cumplir la ley no es solo una obligación, sino una muestra de reputación y profesionalidad en todos los sectores, incluido el inmobiliario.
Pero, ¿qué hay que tener realmente en cuenta para cumplir la ley de protección de datos en una agencia inmobiliaria? Lo ha explicado la abogada especializada en el sector inmobiliario Mercedes de Parada en uno de los cursos de Fotocasa Pro Academy.
¿Con qué datos trabajamos?
Cuando hablamos de protección de datos inmediatamente pensamos en los datos de los clientes, pero no son los únicos con los que se trabaja en una agencia inmobiliaria. También hay que incluir los datos de proveedores, de empleados y hasta de demandantes de empleo que hayan podido dejar un currículum.
¿Cuál es la normativa vigente?
“Al manejar datos personales, hay que adaptarse tanto al Reglamento General de Protección de Datos (RGPD) como a la Ley Orgánica de Protección de Datos española (LOPD)”, indica la letrada. El RGPD de 2016 tiene alcance europeo, mientras que la LOPD de 2018 es su adaptación al ámbito estatal. Por lo tanto, si se cumple el primero se está cumpliendo la segunda. Y hay que añadir además la Ley de servicios de la sociedad de la información y de comercio electrónico de 2002 para las actividades que se realicen por internet.
Es obligatorio adaptarse a toda esta normativa y proteger cualquier dato personal entendido en un sentido muy amplio. Por una parte, toda aquella información que permita identificar a una persona: nombre y apellidos, domicilio, DNI, teléfono, correo electrónico, etc. Pero también sus gustos y preferencias, o datos relativos a su economía: si buscan inmuebles de un precio determinado, si van a pedir financiación, si prefieren viviendas exteriores o con jardín…
El RGPD establece cuatro grandes novedades de protección de datos que se deben tener en cuenta en todo momento: el registro de actividades de tratamiento, la necesidad de informar a los usuarios del tratamiento de los datos que se está realizando, la solicitud de un consentimiento expreso y la responsabilidad proactiva en el cumplimiento de esta ley.
¿Qué es el registro de actividades de tratamiento?
Con la normativa vigente ya no hace falta registrar un fichero en la Agencia Española de Protección de Datos, pero hay que llevar al día una serie de documentos internos que reflejen qué tipo de tratamientos se realizan y con qué tipo de datos.
“Debemos tener un documento escrito que diga cuáles son los datos que recabamos y almacenamos, con qué finalidad los recogemos (venta de inmueble, buscar un arrendatario, si se realizan estudios demográficos a partir de esta información…)”, indica Mercedes de Parada. “Y, obviamente, este registro debe estar actualizado”. El documento, que debe estar disponible en el caso de que lo reclame la autoridad competente, también especifica quiénes están legitimados para tener acceso a los datos, dónde van a estar guardados y con qué medidas de seguridad y si se prevé la cesión de los datos a terceros. Los cambios y borrado de datos que se realicen deben constar también en este documento.
Los tratamientos más habituales que se incluyen en el registro de actividades son los datos que provienen de clientes, de proveedores, los relacionados con la contabilidad, de currículums recibidos y de videovigilancia. El registro de actividades de tratamiento es obligatorio para todas aquellas empresas con más de 250 empleados o si hay riesgo para los derechos y libertades de los interesados. “En caso de duda conviene realizarlo siempre”, afirma de Parada.
Protección de datos con terceros
Es habitual compartir datos, por necesidades de funcionamiento, con las asesorías fiscales o laborales o las empresas informáticas con las que trabaja una agencia inmobiliaria. Por eso es imprescindible asegurarse que esos terceros también cumplen con la normativa obligatoria.
“Habría que firmar un contrato con los responsables de la protección de datos de esas terceras empresas para garantizar que se están protegiendo correctamente y que estamos cumpliendo con nuestra parte”, afirma la abogada.
Los textos legales de la web
Las páginas web deben cumplir con su propia normativa de protección de datos, y el aviso legal debe contemplar una serie de requisitos mínimos, sobre todo la identificación de la empresa que está detrás de esa web, con todos sus datos. “No se trata solo de cumplir la ley, también es un requisito reputacional: cualquier cliente que esté consultado esa web y detecte que falta esa información va a tener una imagen muy negativa de la agencia en cuestión”, dice Mercedes de Parada.
En todas las webs en las que se recogen datos a través de formularios hay que incluir también una política de privacidad que explique a los usuarios el tratamiento que se va a hacer de sus datos. Y, además, hay que explicar la política de cookies de la propia web.
El consentimiento de los clientes
Este ha sido uno de los cambios recientes más importantes en la normativa de la protección de datos. “El consentimiento del tratamiento de los datos tiene que ser expreso: no puede haber casillas marcadas por defecto o darlo por hecho. El consentimiento debe ser claro e inequívoco, debe mostrar que esa persona acepta que sus datos sean recogidos, cedidos y tratados”, detalla la experta.
Lo más habitual es habilitar una casilla que los usuarios deben marcar para expresar el consentimiento de sus datos si se recogen a través de la web, o la firma de un documento en el caso de los clientes a los que se atiende directamente en la oficina. También es necesario firmar un documento con los empleados de la empresa, en el que debe constar además una cláusula de confidencialidad para evitar que sus datos sean revelados a terceros. Por su parte, los empleados deben comprometerse por escrito a cumplir con las medidas adoptadas por la empresa para la protección de datos.
Cómo comunicar las brechas de seguridad
Una de las obligaciones del reglamento es la comunicación de brechas de seguridad: un fallo del sistema informático, robo de datos, etc. En esos casos hay que notificarlo tanto a la Agencia Española de Protección de Datos como a las propias personas afectadas, y en un plazo límite de 72 horas. “Si se ha cumplido con toda la normativa será un atenuante a la hora de valorar posibles sanciones por estas brechas de seguridad”, indica Mercedes de Parada. “Lo importante es haber cumplido con la reglamentación y haber hecho todo lo posible para atenuar los daños”.
Sanciones: a lo que no hay que llegar
La dejación total o parcial de las medidas de protección de datos pueden comportar sanciones en ocasiones bastante cuantiosas. Las infracciones se califican como leves, graves o muy graves. En las infracciones leves las multas pueden alcanzar los 40.000 euros, en las graves llegan a 300.000 euros, y las muy graves pueden ser de hasta 20 millones de euros o el 4% de la facturación anual de la empresa responsable.
“Ha habido un plazo de adaptación del reglamento, pero actualmente las sanciones ya se están aplicando, la ley se tiene que cumplir”, concluye la experta.
Más información en Fotocasa Pro Academy
La master class ‘Los 10 consejos legales imprescindibles en protección de datos en inmobiliarias’ está disponible gratuitamente en Fotocasa Pro Academy para usuarios registrados.