Las agencias inmobiliarias y los agentes inmobiliarios, tratan información muy diversa de sus clientes, por lo que le afecta la Legislación en materia de protección de datos.

Tipo de información que tratan las Inmobiliarias

Este tipo de negocio presta los siguientes servicios más comunes, del cual podemos deducir los datos que tratan:

• Asesoramiento en la búsqueda de inmuebles: Cuando un cliente se dispone a adquirir un inmueble, acudir a una inmobiliaria es su mejor opción. Su amplia experiencia en el mercado y su conocimiento en la zona de actuación, le proporcionan al cliente una amplia posibilidad de encontrar el inmueble ideal.
• Tramitación de Certificados Energéticos: Este documento legaliza cualquier transacción inmobiliaria, su carácter es obligatorio desde el año 2013.
• Analizar el mercado: Las agencias saben definir el verdadero valor de una casa, así como analizar si la posible compra es una buena opción respecto al mercado inmobiliario.
• Home Staging: Es una técnica de marketing aplicada a la decoración de una vivienda que busca ser vendida o alquilada, siendo un proceso psicológico para invertir en dejar presentable una propiedad para su comercialización en el menor tiempo posible y con la mayor rentabilidad. 
• Publicidad: Promover y publicitar la venta de inmuebles es otro de los servicios ofrecidos por las inmobiliarias, esto a través de diversos canales de comunicación ya sea tradicionales o digitales, todo esto con la finalidad de que el cliente no se preocupe por difundirla y hacerla más fácil de vender.
• Gestión patrimonial: Consiste en la asesoría de inversión, incorpora la planificación y gestión financiera, así como otra serie de servicios financieros globales, este tipo de asesoría está a cargo de especialistas financieros que conocen la banca minorista, planificación patrimonial, recursos legales, fiscales y elaboración de proceso de inversión, con el fin de apoyar a su cliente a mejorar sus ingresos, hacerlos crecer y conseguir un tratamiento de inversión fiscal favorable
• Supervisar el proceso de compra venta o alquiler: Las inmobiliarias ofrecen seguridad jurídica ante este tipo de procedimientos. Los agentes inmobiliarios conocen detalladamente todo el proceso de compra venta o alquiler, teniendo como responsabilidad verificar que se cumpla y supervisar que todos los documentos, escrituras y contratos sean legales. 

• Localizar propiedades que cumplan con las necesidades, presupuesto y gusto del cliente.
• Evaluar la propiedad, identificando cualquier posible anomalía.
• Acompañar a su cliente visitando las propiedades, antes de tomar la decisión de compra.
• Buscar planes de financiamiento. 
• Representar a su cliente ante cualquier institución que se vea involucrada. 
• Apoyar a su cliente a recabar la documentación que se requiere para el proceso de compra.
• Asesorar a su cliente en el momento de la firma de compra venta del inmueble frente al notario. 
• En caso de existir procesos jurídicos o técnicos, debe apoyar a su cliente si se presentan dificultades.

¿Es obligatorio para las inmobiliarias cumplir la ley de Protección de Datos?

SÍ. El cumplimiento de la normativa de protección de datos es obligatorio para todas aquellas empresas que traten datos personales de usuarios, clientes, proveedores, empleados, etc.

Son datos personales toda aquella información que permita identificar a una persona, tanto de forma directa como indirecta. Ejemplos de datos personales serían el nombre y apellidos, domicilio, DNI, número de teléfono, dirección de correo electrónico, y un largo etcétera.

Este tipo de datos son recabados por las inmobiliarias para el desarrollo de su actividad. 

Otro punto importante es el deber de informar a los usuarios sobre el tratamiento de datos que se realiza. Los negocios inmobiliarios han de informar a usuarios, clientes, empleados o proveedores sobre los datos que almacenan, con qué finalidad, durante cuánto tiempo, si los ceden a terceros, y las vías para ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Es obligatorio obtener el consentimiento expreso del titular de los datos para poder recabar sus datos personales. Ya no sirve con el consentimiento tácito, sino que debe ser explícito, voluntario e informado.

Por otra parte, la nueva normativa de protección de datos incorpora el concepto de responsabilidad proactiva. Esto es, que desde el principio, los agentes involucrados en el tratamiento de datos, han de poner en marcha las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y su protección frente a robos, pérdidas o accesos no autorizados.

¿Cómo adaptar una inmobiliaria a la normativa de protección de datos?

Las inmobiliarias manejan una gran cantidad de datos de clientes, empleados y proveedores, por lo que también tendrán que adaptarse a la normativa de protección de datos para empresas.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

En tu inmobiliaria seguro que realizas actividades de captación de clientes, operaciones de compra, venta o alquiler de inmuebles, y contratación de suministros, contratación de profesionales, financiación, etc. Dentro de estas actuaciones se recopilan muchos datos personales.

Cada vez que un cliente te deja sus datos para la compra o venta de un inmueble, contratas con los profesionales y empresas externas servicios de mantenimiento, o ceder los datos de sus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Debes saber que para cumplir con la normativa vigente de protección de datos las Agencias Inmobiliarias y agentes inmobiliarios (y en realidad, cualquier empresa o profesional que trate con datos personales de otros) deben llevar a cabo una serie de actuaciones principales:

1. Realizar un Registro de actividades de tratamiento
2. Realizar un Análisis de riesgos
3. Evaluación de Impacto
4. Firmar los contratos con terceros
5. Firmar las cláusulas legales con los empleados
6. Solicitar el consentimiento a los clientes
7. Incluir los textos legales en la página web
8. Notificar brechas de seguridad
9. Elaboración del documento de seguridad

Veamos en detalle algunas de estas actuaciones, para despejar todas tus dudas.

1. Registro de actividades de tratamiento

Para cumplir la normativa de protección de datos en inmobiliarias es necesario llevar un registro de las actividades de tratamiento, indicando en cada fichero de qué tipo de datos se trata:

• Tipo de datos almacenados
• Política de almacenamiento de esos datos
• Si se realizan cesiones o transferencias internacionales
• Finalidad
• Legitimados
• Medios a través de los que se realiza el tratamiento

Este registro de actividad debes mantenerlo siempre actualizado. La Agencia Española de Protección de Datos te lo pedirá si tienes una inspección.

Es cualquier operación que realices con los datos, como modificación, consulta, utilización, cancelación, bloqueo o supresión de datos.

Los tratamientos más habituales en las inmobiliarias son:

• Clientes y familiares
• Arrendados
• Proveedores
• Empleados
• Comerciales
• Curriculum o candidatos
• Datos de contacto y redes sociales
• Contabilidad
• Videovigilancia
• Propiedades
• Financiación
• Afiliados

Algunas inmobiliarias además recogen información sobre la orientación sexual, para determinar si está afín a algún colectivo concreto; o sobre hábitos de salud como es el caso de si el cliente o arrendado es fumador. Hay que tener en cuenta que esta información es de alto nivel de seguridad.

También se pueden recoger datos biométricos (trazo, presión y velocidad de la firma electrónica).

Además, hay que tener en cuenta que cada vez más empresas tienen programas de afiliados, que habrá que tener en cuenta. Así mismo, en este sector hay muchos comerciales que son autónomos y no son trabajadores por cuenta ajena.

2. Análisis de riesgos

La normativa de protección de datos obliga a la inmobiliaria a llevar a cabo un análisis de riesgos.

Este análisis de riesgos debe realizarlo el responsable del tratamiento (que es el propio despacho de notarios) y sirve para evaluar los riesgos que pueden derivarse de los tratamientos de datos personales para los derechos y libertades de los interesados. Es decir, sirve para determinar las posibilidades de que una amenaza se materialice y el impacto negativo que pueda tener sobre los interesados.

De sus conclusiones, se pueden determinar las medidas o soluciones de seguridad que es necesario implantar para minimizar o eliminar la posibilidad de que ocurra el riesgo o, en caso de producirse, reducir su impacto y consecuencias.

3. Evaluación de impacto

Cuando del análisis de riesgos del punto anterior se concluye que puede existir un nivel de riesgo alto para los derechos y libertades de los interesados, es necesario realizar una evaluación de impacto.

La evaluación de impacto es un nuevo análisis de riesgos, pero más centrado en el impacto negativo que el tratamiento de datos personales puede tener sobre las libertades y derechos de los interesados. El objetivo sigue siendo minimizar las posibilidades de que un riesgo se materialice, para lo que se deberán determinar las medidas de seguridad que ayuden a ello y a garantizar la confidencialidad de la información.

4. Contratos con Encargados de tratamiento

Cuando se van a ceder datos de carácter personal a terceros, es necesario firmar un contrato de encargo de tratamiento. Esto ocurre, por ejemplo, cuando la Inmobiliara recurre a un perito, y cuando se tiene contratado un servicio de prevención de riesgos laborales y vigilancia de la salud, puesto que tendrán acceso a datos personales de los empleados. También ocurre cuando se contrata externamente a una asesoría fiscal y laboral, para la gestión contable y las nóminas de los trabajadores.

Es necesario que por cada cesión de datos a terceros, el responsable del tratamiento firme un contrato con el encargado del tratamiento (en el primer ejemplo anterior, es el perito, si es un profesional por cuenta propia, o la empresa en la que trabaje).

En el contrato de encargo se especificarán todas las obligaciones en materia de protección de datos que debe contemplar el encargado del tratamiento.

5. Consentimiento de clientes

Otra de las obligaciones en la protección de datos para inmobiliarias es obtener el consentimiento expreso de los clientes para tratar sus datos.

Por consentimiento expreso se entiende que el usuario ha de realizar una acción explícita e inequívoca para que el responsable del tratamiento pueda almacenar o usar sus datos, por ejemplo, marcar una casilla o check box.

Además, si existen varias finalidades para el tratamiento, el usuario debe otorgar consentimiento para cada una de ellas por separado.

Este consentimiento puedes solicitarlo de dos formas:

• Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
• En caso de que el cliente facilite sus datos personalmente en la inmobiliaria, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del Reglamento General de Protección de Datos es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

6. Acuerdos de confidencialidad de los empleados

Con aquellos empleados, de la Inmobiliaria que puedan acceder a la información personal de los clientes, será necesario firmar un acuerdo de confidencialidad o incluir unas cláusulas de confidencialidad en sus concretos, para evitar que esa información sea revelada a personas no autorizadas. En él se establecerán las consecuencias de infringirlas.

Los empleados también deben cumplir las medidas de seguridad que se hayan establecido, para garantizar en la Inmobiliaria la protección de los datos personales.

7. Si tienes una Página web

Si la Inmobiliaria cuenta con página web, esta debe tener enlazados los correspondientes textos legales:

• Política de privacidad (es toda la información referente a la protección de datos):
  • Existencia de un tratamiento de los datos que se están solicitando
  • Finalidad
  • Destinatario o destinatarios de aquella información
  • Identidad y dirección del responsable del tratamiento de los datos
  • Posibilidad de ejercer sus derechos
• Aviso legal (donde se identifica al propietario de la página web):
  • Nombre del propietario
  • NIF
  • Dirección
  • Email
  • N.º de colegiado
• Política de cookies (se informa de las cookies que se generan en la web, su finalidad, duración y si pertenecen a terceros)
• Términos y condiciones de uso: Si se va vender servicios a través de su página web, debe incluir este texto legal, que aparte de estar disponible en la página, debe aparecer antes de proceder a aceptar la compra o contratación. Deben incluir:
  • Precios
  • Plazos y políticas de prestación del servicio
  • Métodos de pago
  • Condiciones particulares
  • Política de cancelación
  • Derecho de desistimiento

8. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de las brechas de seguridad que se produzcan en la empresa, tanto a los afectados como a la Agencia Española de Protección de Datos.

En el caso de que tengas un ciberataque o infracción de seguridad en la inmobiliaria, debes estar prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Es importante destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

9. Designación de un Delegado de Protección de Datos (DPO/DPD)

Con carácter general, una inmobiliaria no va a necesitar contratar un Delegado de Protección de Datos. Pero puede ser necesario que, si tratan un gran volumen de datos, tenga que designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos.

Además, para cumplir con el principio de información del Reglamento de Protección de Datos, la designación del DPO y sus datos de contacto deben publicarse y comunicarse a la Agencia Española de Protección de Datos. El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

10. Elaboración del documento de Seguridad

Nuestra entidad redactará un documento de seguridad, en el que se incluya toda la información aquí indicada en la guía. Es decir, las actividades de tratamiento, el análisis de riesgos, las evaluaciones de impacto, las medidas técnicas y organizativas, las cláusulas legales para los clientes, proveedores, trabajadores, páginas webs, los contratos con terceros, etc.

Sanciones 

El Reglamento General de Protección de Datos establece 3 categorías de sanciones en función de la gravedad de la infracción, el beneficio obtenido, el perjuicio causado, la extensión de la conducta en el tiempo o la voluntad para corregir el comportamiento ilícito.

En concreto, distingue entre:

• Infracciones Leves: multa de hasta 40.000 €
• Infracciones graves: multa de 40.001 € a 300.000 €
• Infracciones muy graves: multa entre 300.001 € a 20.000.000 €

En el caso de las infracciones muy graves, suelen ser impuestas a grandes empresas multinacionales. En estos casos, las sanciones de 20 millones de euros podrían no ser suficientes, por lo que se podrían multar con un importe de hasta el 4% de su facturación anual.

Preguntas frecuentes

¿Puedo enviar comunicaciones comerciales a mis clientes?

Puedes enviarlas siempre que tengas el consentimiento expreso de los clientes para ello. A la hora de solicitar el consentimiento es necesario indicar específicamente las finalidades para las que van a utilizarse los datos personales.

Si son clientes anteriores y no habían firmado ningún consentimiento, es necesario que lo firmen. Por tanto, todas las inmobiliarias deberán contar con procedimientos que permitan a sus clientes y usuarios aceptar de manera libre e inequívoca el uso y tratamiento de sus datos.

¿Cuáles son los datos personales a proteger en una inmobiliaria?

Principalmente, datos sobre usuarios potenciales, clientes, proveedores, empleados o videovigilancia, entre otros.

Hay que tener en cuenta que las inmobiliarias pueden ceder datos a terceros para financiación, servicios de mantenimiento, o asesorías para gestión de nóminas, entre otros casos. Es imprescindible que todos estos datos estén adecuadamente protegidos.

¿Cómo debo tratar los currículum que me llegan a la inmobiliaria?

En el caso de que una persona nos entregue su currículum debemos:

• Informarle de que lo vamos a guardar
• Facilitarle el ejercicio de sus derechos ARCO, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

¿Y si los clientes me llegan a través de portales como Yaencontre, Idealista, Fotocasa o Pisos?

En ese caso deben ser esos portales los que incluyan los textos legales y su política de privacidad y soliciten el consentimiento al usuario al facilitar sus datos. Tú solo debes pedir el consentimiento cuando vayas a tratar esos datos, por ejemplo, para solicitarle o enviarle información.

¿Es necesario recabar el consentimiento de los trabajadores para tratar sus datos?

Cuando se tratan datos personales cuyo uso está justificado por parte de la empresa por ser necesarios para mantener la relación laboral, como el nombre, no es necesario recabar el consentimiento de los trabajadores. Sin embargo, si que habrá que hacerlo para aquellos datos que pueden considerarse no necesarios para la prestación de servicios, como puede ser la cuenta de correo electrónico personal.

¿Cuánto tiempo puedo conservar los datos de los propietarios o inquilinos?

No hay un plazo legal establecido. El Reglamento General de Protección de Datos establece que solo se podrán almacenar los datos de usuarios durante el tiempo necesario para cumplir la finalidad para la que fueron recabados.

La ley también prevé que los datos se puedan conservar, debidamente protegidos, aquellos datos que pudieran ser necesarios para la defensa jurídica, o que pudieran ser solicitados por las autoridades para el ejercicio de sus funciones.

¿Necesitas ayuda?

Escríbenos a info@legalglobal.es

Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/