Tenemos claro que el Reglamento de Protección de datos afecta al sector inmobiliario en su conjunto, con independencia del tamaño de la empresa y no solo a aquellas empresas que prestan servicios online (páginas web de compra-venta, alquiler, simuladores de hipotecas, intermediación, agencias inmobiliarias, …). Cualquier empresa del sector de real estate (Socimis, promotoras, constructoras, servicers, y entidades financieras) gestiona información para crear bases de datos de personas. Asumiendo que a la fecha, todas las empresas del sector habrán adaptado y revisado los diferentes tratamientos que lleven a cabo de los datos y los procedimientos de gestión de los mismos, el sector se pregunta ahora sobre la adecuación a las exigencias de cumplimiento posteriores a este trabajo de adecuación.
La dirección de las empresas del negocio inmobiliario y real estate se preguntan: ¿Se ha hecho una adaptación adecuada? ¿Estamos guardando los consentimientos de los usuarios del simulador de hipotecas? ¿No estaremos recabando más datos de los necesarios de los inquilinos? ¿Estamos haciendo un seguimiento adecuado de los riesgos de privacidad asociados a los sistemas de videovigilancia de nuestros inmuebles? ¿y sobre nuestros clientes o potenciales clientes? ¿Es necesario hacer algo más? ¿Podemos demostrar el cumplimiento con el RGPD?
Todas estas dudas tienen su respuesta en el principio de responsabilidad proactiva o accountability. Este principio implica la necesidad de que el responsable del tratamiento aplique las medidas legales, técnicas y organizativas apropiadas a fin de garantizar y poder demostrar, ante los interesados y ante la autoridad de control, que el tratamiento de datos personales que se realiza es conforme con el RGPD.
Dentro de las medidas y obligaciones que toda entidad ha tenido que implementar para adecuarse al RGPD se incluye, entre otras:
¿Pero, cómo demostramos que estamos aplicando estas medidas ahora y que las seguiré aplicando en el tiempo?
Una solución que cada vez está tomando más fuerza para demostrar la responsabilidad proactiva a lo largo del tiempo es el establecimiento de un Sistema de Gestión de Protección de Datos. Ser capaz de demostrar el correcto cumplimiento de sus obligaciones, la trazabilidad documental de actividades, asignar roles, responsables, criterios establecidos… son los diferentes aspectos que nos aporta un sistema de gestión.
Este Sistema de Gestión de Protección de Datos se puede sustentar en el estándar sobre el sistema de gestión de información personal. El estándar proporciona un marco para un Sistema de Gestión de Protección de Datos, que ayuda a mantener y mejorar el cumplimiento de la legislación de protección de datos. Las fases de este marco son:
En definitiva, es igual de importante el cumplimiento como la prueba del cumplimiento del RGPD. De poco nos servirá recoger los consentimientos de inquilinos, compradores, visitante de un piso si no guardamos registros adecuados de ellos. Tampoco nos servirá tener establecido un sistema sofisticado de respuestas a derechos si no podemos justificar las fechas de recepción y respuesta de dichas peticiones. Las empresas deben tomar las medidas necesarias a efectos de evitar cualquier riesgo de sanción, daño a la reputación u otro perjuicio a su actividad.