Auditoría & Co

Tenemos claro que el Reglamento de Protección de datos afecta al sector inmobiliario en su conjunto, con independencia del tamaño de la empresa y no solo a aquellas empresas que prestan servicios online (páginas web de compra-venta, alquiler, simuladores de hipotecas, intermediación, agencias inmobiliarias, …). Cualquier empresa del sector de real estate (Socimis, promotoras, constructoras, servicers, y entidades financieras) gestiona información para crear bases de datos de personas. Asumiendo que a la fecha, todas las empresas del sector habrán adaptado y revisado los diferentes tratamientos que lleven a cabo de los datos y los procedimientos de gestión de los mismos, el sector se pregunta ahora sobre la adecuación a las exigencias de cumplimiento posteriores a este trabajo de adecuación.

La dirección de las empresas del negocio inmobiliario y real estate se preguntan: ¿Se ha hecho una adaptación adecuada? ¿Estamos guardando los consentimientos de los usuarios del simulador de hipotecas? ¿No estaremos recabando más datos de los necesarios de los inquilinos? ¿Estamos haciendo un seguimiento adecuado de los riesgos de privacidad asociados a los sistemas de videovigilancia de nuestros inmuebles? ¿y sobre nuestros clientes o potenciales clientes? ¿Es necesario hacer algo más? ¿Podemos demostrar el cumplimiento con el RGPD?

Todas estas dudas tienen su respuesta en el principio de responsabilidad proactiva o accountability. Este principio implica la necesidad de que el responsable del tratamiento aplique las medidas legales, técnicas y organizativas apropiadas a fin de garantizar y poder demostrar, ante los interesados y ante la autoridad de control, que el tratamiento de datos personales que se realiza es conforme con el RGPD.

Dentro de las medidas y obligaciones que toda entidad ha tenido que implementar para adecuarse al RGPD se incluye, entre otras:

  • Llevar un registro de las actividades de tratamiento;
  • Analizar los diversos tipos de procesamiento de datos que realizamos desde la gestión de los contratos de alquiler pasando por los sistemas de videovigilancia hasta información más sensible de morosidad y ocupación de los inmuebles, identificar su base legal para llevarla a cabo y requerir el consentimiento del interesado si es necesario;
  • Dar al interesado información y respuesta de todo aquello que afecte al tratamiento de sus datos y a su peticiones de ejecución de sus derechos;
  • Aplicar los principios de privacidad desde el diseño y por defecto; realizar evaluaciones de Impacto en la Protección de Datos;
  • Designar un Delegado de Protección de Datos (y un responsable del tratamiento) y notificar las brechas de seguridad.

¿Pero, cómo demostramos que estamos aplicando estas medidas ahora y que las seguiré aplicando en el tiempo?

Una solución que cada vez está tomando más fuerza para demostrar la responsabilidad proactiva a lo largo del tiempo es el establecimiento de un Sistema de Gestión de Protección de Datos. Ser capaz de demostrar el correcto cumplimiento de sus obligaciones, la trazabilidad documental de actividades, asignar roles, responsables, criterios establecidos… son los diferentes aspectos que nos aporta un sistema de gestión.

Este Sistema de Gestión de Protección de Datos se puede sustentar en el estándar sobre el sistema de gestión de información personal. El estándar proporciona un marco para un Sistema de Gestión de Protección de Datos, que ayuda a mantener y mejorar el cumplimiento de la legislación de protección de datos. Las fases de este marco son:

  • Diseño del SGPD: en esta fase se definen los objetivos, políticas, procesos y procedimientos relevantes del Sistema de Gestión para gestionar los riesgos de los datos personales, con el fin de cumplir con la legislación sobre protección de datos y obtener resultados acordes con los objetivos estratégicos de nuestra empresa.
  • Implementación y utilización del SGPD: en esta fase se define y ejecuta el plan de implantación de medidas de privacidad necesarias para el cumplimiento de la legislación de protección de datos.
  • Monitorización y revisión del SGPD: en esta fase se efectúan revisiones periódicas del SGPD, auditorías internas que permiten validar la vigencia, razonabilidad y efectividad de este y los controles legales, organizativos y técnicos establecidos. Se definen los indicadores y registros para demonstrar e evidenciar el cumplimiento de los requerimientos de protección de datos.
  • Mantenimiento y mejora del SGPD: en esta fase se implantan las mejoras, las acciones preventivas y las acciones correctivas identificadas en las fases anteriores y se evalúa si estas han cubierto los objetivos y si son necesarias medidas adicionales para cubrir los objetivos propuestos. Una vez acabada esta fase se inicia otra iteración, volviendo al proceso de Diseño del SGPD.

En definitiva, es igual de importante el cumplimiento como la prueba del cumplimiento del RGPD. De poco nos servirá recoger los consentimientos de inquilinos, compradores, visitante de un piso si no guardamos registros adecuados de ellos. Tampoco nos servirá tener establecido un sistema sofisticado de respuestas a derechos si no podemos justificar las fechas de recepción y respuesta de dichas peticiones. Las empresas deben tomar las medidas necesarias a efectos de evitar cualquier riesgo de sanción, daño a la reputación u otro perjuicio a su actividad.

Fuente: BDO Abogados y Asesores Tributarios

Source