Pocas veces un Reglamento Europeo ha sido tan comentado como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, sobre protección de datos.
Su aplicación efectiva el 25 de mayo de 2018, coincide con el escándalo de la fuga de datos de usuarios de plataformas como facebook y el uso indebido de la información personal de miles de usuarios en campañas políticas.
Sin embargo, esta Ley se preparó 2 años antes (entró en vigor el 25 de Mayo de 2016), por lo que su implantación efectiva no debería suponer grandes cambios en las empresas, ¿o si?
Depende de cómo se haya solicitado la información de datos personales, tanto offline como online.
El hecho de que gran parte de los contactos se generen en canales online, no significa que el Reglamento tenga validez sólo sobre esos soportes.
En los últimos días/semanas, habréis visto mensajes en muchas páginas web, redes sociales y correos electrónicos, avisando de cambios en la política de privacidad de la empresa emisora del mensaje.
Google, Facebook, Mailchimp, WordPress,… aun siendo compañías de fuera de la Unión Europea, han tenido que modificar sus textos legales y la forma de gestionar los datos personales de los usuarios.
Las sanciones por incumplimiento de la normativa incluyen advertencias por escrito, auditorías y multas de hasta 20 millones de euros o el 4% del volumen de negocios del año anterior.
Comunicado de Google en el navegador Chrome para que el usuario compruebe la Política de Privacidad, antes de seguir usando sus servicios.
Qué es el Reglamento de Protección General de Datos
La RGPD es el Reglamento de Protección General de Datos, normativa a nivel europeo que alcanza a toda empresa que opere en la Unión Europea y que maneje datos de carácter personal.
La normativa indica que los datos sólo pueden procesarse si existe una base legal para ello, es decir, cuando:
– el interesado expresa el consentimiento de procesamiento de sus datos personales para uno o más propósitos específicos.
– el procesamiento es necesario para ejecutar un contrato del que el interesado es parte o para tomar medidas previas a petición del interesado.
– el procesamiento es necesario para que el controlador cumpla una obligación legal a la que está sujeto.
– el procesamiento es necesario para la protección de intereses vitales del interesado u otra persona física.
– el procesamiento es necesario para realizar una tarea de interés público o ejerciendo la autoridad oficial ostentada por el controlador.
– el tratamiento es necesario para salvaguardar los fines de intereses legítimos del responsable o un tercero excepto cuando estos intereses son anulados por derechos o libertades fundamentales del interesado.
El consentimiento
Es el término clave de esta nueva normativa y lo que la diferencia de la LOPD.
Antes de que un usuario envíe sus datos personales, el responsable del tratamiento de los datos debe asegurarse de que dicha parte interesada haya expresado su consentimiento.
Ese consentimiento debe ser “dado libremente, específico, informado e inequívoco”, expresado en un lenguaje legal “claro y sencillo” . Además se debe probar que los procesos cumplen con las normas y se respetan en cada caso.
Anteriormente, la LOPD permitía el uso del atajo de “cancelar suscripción” para que la toma de datos fuera legítima.
Ahora, el consentimiento debe ser expreso, libre y claro.
Nuevos derechos para los usuarios
El reglamento también integra dos nuevos derechos para las partes interesadas:
- el derecho al olvido, que exige que los responsables del tratamiento de datos alerten a los destinatarios subsiguientes sobre las peticiones de eliminación de datos y
- el derecho a la portabilidad de datos, que permite que los interesados soliciten una copia de sus datos en un formato común.
Estos dos derechos harán que sea más fácil para los usuarios solicitar que cualquier información almacenada sea eliminada o que la información recopilada sea compartida con ellos. En concreto:
- Obtener detalles del tratamiento de sus datos por parte de una organización o empresa.
- Obtener copias de los datos personales.
- Solicitar que se corrijan datos incorrectos o incompletos, o incluso eliminarlo.
- Obtener sus datos de una organización y pedir que se transfieran a otra.
- Oponerse al tratamiento de sus datos.
- No someterse a la toma automatizada de decisiones, incluida la elaboración de perfiles.
Diferencias entre la Ley Orgánica de Protección de Datos y el Reglamento de Protección de datos Personales, vía Jose Facchin
Veamos ahora las acciones necesarias para acomodar el negocio ante los requisitos de la GRPD:
GDPR y web inmobiliaria
Si tienes una web inmobiliaria y quieres adaptarte a la nueva Ley europea de Protección de Datos, solo debes seguir los pasos siguientes.
Exponer los textos legales
El aviso legal, la política de privacidad, la política de protección de datos de clientes y la política de cookies deben estar accesibles en la web, no necesariamente por separado, pero si con toda la información sobre el tratamiento de datos.
Un buen lugar para ponerlo es en el pie de página, de tal modo que será visible en todas las páginas.
Informar a los contactos de las bases de datos
A las personas que aparezcan en tus bases de datos y que no hayan consentido expresamente al tratamiento de datos, hay que enviarles un comunicado con la petición de obtener ese consentimiento.
A través de un correo electrónico, debes hacerles saber que dispones de sus datos personales y para qué los usarás:
- creación de base de datos,
- campañas de email marketing,
- alertas de ofertas y demandas,
- marketing automatizado,
- compartir la información con terceras empresas.
Y en ese comunicación solicitar el consentimiento.
Recibir su consentimiento explícito para cada finalidad
Cada usuario deberá dar el visto bueno, explícita e inequívocamente para cada finalidad específica. Si hasta ahora a las inmobiliarias les bastaba con un consentimiento tácito de los clientes para usar su información personal, ahora es obligatoria una confirmación explícita.
El usuario debe realizar una acción consciente, para aceptar las condiciones de privacidad que marca la empresa receptora de sus datos.
En los formularios web, como:
- los que se colocan en las fichas de los inmuebles,
- los dirigidos a los compradores,
- los de captación de propietarios,
- los de contacto de la empresa,
- las landings de producto y/o servicio,
- los de suscripción a blog, newsletters,..
La casilla de solicitud de consentimiento debe estar desmarcada y debe mostrarse información clara sobre la política de privacidad de la empresa.
Ejemplo de formulario de solicitud de información de inmueble en una web inmobiliaria, en el que se solicita el consentimiento expreso del usuario, para cada finalidad de la comunicación.
Realizar comunicaciones para conseguir dicha confirmación
Las inmobiliarias que no consigan el consentimiento inequívoco de sus clientes para seguir utilizando sus datos personales se verán obligadas a llevar a cabo campañas para promover dicha confirmación.
Se persigue conseguir el consentimiento de manera explícita y específicamente para cada una de las finalidades.
Limpiar las bases de datos de contactos
En caso de no conseguir el consentimiento, la inmobiliaria se verá obligada a depurar sus bases de datos, eliminando los contactos que no hayan mostrado explícitamente su consentimiento para que la empresa utilice su información personal.
Inscripción de ficheros
La Agencia de Protección de Datos recuerda la obligación de notificar ficheros se sustituye a partir del 25 de mayo de 2018 por elaborar un registro de actividades de tratamiento que deberá contener la información señalada en el artículo 30 del citado Reglamento.
GDPR y email marketing
Si realizas campañas de email marketing, tendrás que trabajar con datos, por lo que hay que tener en cuenta algunas claves:
– El consentimiento debe ser expreso y las casillas de verificación no podrán estar marcadas por defecto, si no que tendrá que marcarlos el usuario expresamente (acción consciente).
– La solicitud de consentimiento deberá estar separado de otros términos y condiciones.
– Se Debe facilitar e informar de la revocación de dicho consentimiento a los usuarios.
– Se deben mantener sistemas que permitan al usuario gestionar las preferencias de las comunicaciones así como la baja de las mismas.
GDPR y sistemas de información
Si usas un programa de gestión de contactos (CRM) y/o una base de datos, cuya información se almacena en un lugar fuera de tu alcance, solicita a tu proveedor que te firme un documento en el que se recoja esa circunstancia.
Es necesario regular la relación contractual entre ambas partes en lo relativo al tratamiento de datos de carácter personal, entre el prestador de servicios (Encargado del Tratamiento de datos) y la empresa (Titular de los datos), reconociendo ambas la validez de la cláusula de protección de datos.
Estudio de Hubspot sobre la opinión de los usuarios frente a las empresas y su gestión de datos personales
Consecuencias de la RGPD para el marketing de las inmobiliarias
1 de cada 3 empresas piensa que, al añadir alertas en los canales de generación de contactos, acerca de la privacidad de datos, un porcentaje de usuarios no seguirá con el proceso de envío de sus datos personales.
Un 41% piensa que utilizar sistemas de autenticación de usuarios, como los de Facebook o Google, les resultará más sencillo que solicitar directamente tanto los datos como el consentimiento al usuario.
Esos sistemas externos ya tiene el consentimiento expreso del usuario, aunque en algunos casos, como en las campañas de pago, el anunciante debe interpelar a su propia política de privacidad y protección de datos.
La mitad de las empresas cree que sus listas de contactos se reducirán, ya que no todos los usuarios responderán ni actuarán para dar su consentimiento expreso.
Percepción del RGPD por parte de los líderes empresariales, sobre las consecuencias en su marketing.
¿Tu empresa cumple con el GDPR?
Las inmobiliarias deberán contar con procedimientos que permitan a sus clientes y usuarios aceptar de manera libre e inequívoca el uso y tratamiento de sus datos.
Esos procedimientos incluyen el uso de cláusulas informativas claras para manifestar de manera expresa su consentimiento, ya sea marcando una casilla en el contrato, hoja de pedido, o en el formulario web.
Se deberán pedir tantos consentimientos distintos e independientes como fines diferentes tenga el uso de los datos, y deberá ser explícito cuando se tomen decisiones automatizadas, incluida la elaboración de perfiles.
En el supuesto de que las inmobiliarias no cuenten con un consentimiento expreso, se verán obligadas a realizar alguna acción o campaña para lograrlo, que a su vez deberán respetar los principios de Reglamento.
Una de las consecuencias más importantes para las empresas del sector sea la de analizar, legitimar y depurar sus bases de datos: contar con una base legal que justifique el tratamiento de datos y de basarse en el consentimiento, que éste haya sido facilitado de forma expresa por los interesados.
Cuestionario
Este checklist permite aclarar la situación en la empresa, aunque es recomendable solicitar un estudio a una empresa especializada, que junto al responsable de seguridad de la empresa, pueda determinar el grado de adecuación a la normativa y las acciones necesarias para el ajuste óptimo:
- ¿Qué datos personales recopilamos/almacenamos?
- ¿Los obtenemos de manera honesta?
- ¿Tenemos los consentimientos necesarios y se informa debidamente a las partes interesadas sobre el propósito específico para el que utilizaremos sus datos?
- ¿Fuimos claros y precisos sobre ese propósito y les informamos sobre su derecho a retirar el consentimiento en cualquier momento?
- ¿Hemos establecido estos propósitos de manera clara y sin ambigüedades, y hemos informado a los interesados sobre su derecho a retirar su consentimiento en cualquier momento?
- ¿Nos aseguramos de no retener los datos más tiempo del necesario y de mantenerlos actualizados?
- ¿Protegemos los datos empleando un nivel de seguridad apropiado en función del riesgo?
Herramientas de Diagnóstico
- Herramienta de Autodiagnóstico Instituto Nacional de CiberSeguridad
- Plan Director de Seguridad
- Servicio Evalúa (Agencia de Protección de Datos)
- Inspección de vivienda antes de vender o comprar - 12 noviembre 2024
- 10 técnicas para la captación inmobiliaria - 5 noviembre 2024
- La disparidad entre oferta y demanda inmobiliaria y propuestas para su solución - 23 octubre 2024