¿Una inmobiliaria tiene la obligación de cumplir con el RGPD?

El RGPD parece estar en todas partes. Y, aunque eso no sea del todo cierto, sí está en todo lugar en el que haya un dato personal en manos de alguien que no es su propietario. ¿Debes cumplirla siendo una inmobiliaria? Sí. ¿Cómo? Vamos a verlo.

Como inmobiliaria tienes en tu poder datos, muchos datos. Los necesitas para ejercer tu labor como negocio, y para ejercerla bien. Clientes, proveedores y tus propios empleados, todos te han dado sus datos confiando en que están a buen recaudo. Vamos a hacer que así sea contándote cómo adaptarte a la nueva normativa al respecto.  

Tienes que centrarte en 10 pasos, que vamos a explicar uno por uno.

  1. Realiza un registro de actividades de tratamiento.

Venga, que esta es fácil. Simplemente tienes que dejar constancia de cuántos datos tienes, cómo son estos datos y para que los usas o tienes pensado usarlos. También tendrás que indicar cuál es tu política de almacenamiento, si los usas para realizar cesiones o transferencias fuera del país y qué medios usas para tratar estos datos. Cuidado, no vale con realizar este registro de las actividades de tratamiento una sola vez. Debes tenerlo siempre actualizado, ya que es lo primero que te pedirá la Agencia Española de Protección de Datos si te hacen una inspección.

  1. Firma los contratos con terceros.

Aunque no seas consciente de estar cediendo los datos de tus clientes, proveedores o empleados a terceros, lo más probable es que sí lo estés haciendo. Pero no hablamos de una mano negra que lo hace a tus espaldas, lo haces conscientemente pero quizá no le das ese nombre. Piensa que, por ejemplo, las empresas que realizan el mantenimiento informático de tu empresa, o la gestoría que gestiona tus pagos a empleados, tienen acceso a todos esos datos de terceros. Pero no entres en pánico, solo tienes que hacerles firmar un contrato de encargo de tratamiento en el que se establezca que cumplen con sus obligaciones legales al tratar con esos datos.

  1. Incluye los textos legales en tu página web.

Simplemente, incluye en tu página web el aviso legal, la política de privacidad y la política de cookies y en este aspecto no tendrás que preocuparte de nada más.

  1. Solicita el consentimiento.

Tus clientes deben de ser conscientes de que posees sus datos (deberían serlo porque te los han proporcionado ellos), pero además tienen que darte su consentimiento expreso para tratarlos. Pero no vayas aún a casa de tus clientes puerta por puerta, hay dos vías mucho más sencillas para hacerlo. La primera es una casilla desmarcada de base en la página web en la que, después de introducir sus datos, el cliente acepta la política de privacidad.

Puede ser que los clientes tiendan a comunicarte sus datos en persona. En ese caso, deberán firmar un documento en el que se les informe de quién tratará sus datos, para qué lo hará, si alguien más los tendrá y por qué medio puede ejercer sus derechos ARCO.

  1. Los empleados deben firmar contratos sobre el tema.

Tus empleados, hasta tu preferido, deben firmar un acuerdo de confidencialidad, según el cual aseguren que no revelarán información ni datos de clientes o proveedores a personas no autorizadas.

  1. Realiza un análisis de riesgos.

Para poder implementar medidas de seguridad que eviten riesgos en el tratamiento de los datos, necesitas realizar antes un análisis del riesgo. En este análisis deberás tener en cuenta el tipo de datos que atesoras, su naturaleza, cesiones, y demás. Es después de este análisis cuando decidirás qué medidas de seguridad te parecen más adecuadas para prevenir sustos relacionados con la seguridad de los datos.

  1. Haz una evaluación de impacto.

Este punto solo deberás tenerlo en consideración si, después del análisis de riesgos, consideras que el riesgo es especialmente alto. Sería el caso si, por ejemplo, el tipo y volumen de tus datos es especialmente sensible.

Si no es así, no te preocupes y sáltate este punto.

  1. Notifica las brechas de seguridad.

La RGPD dicta que debes comunicar cualquier vulneración de la seguridad de los datos a sus afectados. También a la AEPD. Eso significa que si sufres un ciberataque o cualquier infracción de seguridad en tu inmobiliaria, debes ponerte manos a la obra para comunicar a las autoridades en la materia, de la misma forma que llamarías a la policía si te entran a robar.

Si ocurriera, tienes 72 horas para llevar a cabo tal comunicación.

  1. Nombra un DPD.

En el RGPD no se especifica que las empresas orientadas al servicio inmobiliario tengan que contratar un Delegado de Protección de Datos, pero quizá prefieras hacerlo.

En el caso de que gestiones y operes con datos financieros o de crédito de tus clientes, por ejemplo, es mejor que contrates a esta figura, que puede estar tanto en tu plantilla como trabajar para ti de forma externa.

Esperamos haberte ayudado a solventar tus inquietudes en el campo de RGPD. Como has visto, todo es cuestión de ir paso por paso y tratar de hacer las cosas lo mejor posible para que, si hay un ciberataque o cualquier susto por el estilo, te pille con el cerrojo echado.

Comparte este artículo

Comparte

Artículo redactado por:

Lisa Hofmann

Chief of Legal Operations de Pridatect | Especialista legal certificada en protección de datos por la institución alemana de servicios relacionados con la seguridad TUEV. Con amplia experiencia en ayudar a empresas en el cumplimiento de la privacidad.

Artículos relacionados

Buscar

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo

Webinars gratuitos