GDPR para agentes inmobiliarios en España

GDPR para agentes inmobiliarios en España es una guía práctica sobre las nuevas leyes de privacidad que afectan a todas las agencias inmobiliarias. Los sitios web, los CRM e incluso la forma de tratar a un nuevo cliente que entra en su oficina deben cumplir la normativa, averigüe cómo hacerlo antes de que sea demasiado tarde y evite las multas potencialmente astronómicas.

El nuevo Reglamento General de Protección de Datos (RGPD ) europeo tiene serias implicaciones para las agencias inmobiliarias que operan en España y en toda Europa. La ley afectará a sus sitios web y a cualquier otro sistema que utilice para conservar los datos de los usuarios, incluido su CRM, así como a la forma en que debe trabajar. El próximo GDPR para los agentes inmobiliarios en España es algo para lo que hay que prepararse si no lo has hecho ya.

Una agencia inmobiliaria recoge datos sobre sus clientes y, según la nueva ley, el agente se define como responsable del tratamiento de datos. Como controlador de datos, usted es responsable de garantizar que los sistemas que utiliza cumplen la ley.

La mayoría de las agencias inmobiliarias son pequeñas o medianas empresas, y algunas ni siquiera han oído hablar de la normativa, pero la ignorancia no es excusa. Las multas por incumplimiento son astronómicas y le dejarán fuera del negocio, por lo que debe asegurarse de que está cubierto.

GDPR para sitios web de agentes inmobiliarios

La primera y más obvia cuestión que presenta el GDPR para las agencias inmobiliarias en España es el cambio que requiere su aviso de cookies. Cuando las cookies pueden identificar a una persona a través de su dispositivo (ya sea por sí solas o en combinación con otra información), se consideran datos personales. No todas las cookies se utilizan de forma que puedan identificar a los usuarios, pero la mayoría sí, como las cookies de análisis, publicidad y servicios funcionales, como las herramientas de encuestas y chat.

Mensajes como «Al utilizar este sitio, usted acepta las cookies" no cumplen con el GDPR. Es necesario ofrecer la posibilidad de elegir libremente, lo que significa una casilla de verificación con las preferencias de aceptación (no de exclusión) de las cookies, y los usuarios deben poder cambiar sus opciones en cualquier momento.

Tipos de cookies

Cuando su sitio web se carga para un nuevo usuario, sólo deben cargarse las cookies necesarias para la funcionalidad del sitio.

El usuario debe ser consciente de que se cargarán algunas cookies en su navegador para que el sitio funcione correctamente. Esto debería ser en forma de un banner de aviso de cookies, que debe mostrarse de forma destacada.

Las cookies funcionales permitirán que el sitio recuerde qué propiedades han buscado para presentarles la lista correcta, o recordar sus preferencias de cookies.

El segundo tipo de cookies son las que recogen datos estadísticos de los usuarios, como algunas de las cookies de Google Analytics. Aunque estas cookies no recogen datos que puedan identificar a un usuario, el usuario debe poder optar por no utilizarlas. Esta opción debería estar disponible en el banner de las cookies, normalmente en forma de casilla.

El tercer tipo de cookie sí identifica al usuario individualmente. Entre estas cookies se encuentran las de Google Analytics, que registran el dispositivo y la ubicación del usuario, así como las establecidas por redes publicitarias como Google o Facebook. Estas cookies de marketing requieren que el usuario acepte su uso, de nuevo mediante una casilla de verificación. Esta casilla debe estar desmarcada por defecto para que el usuario tenga que optar por su uso.

Cualquier formulario de su sitio web que el usuario rellene, como los formularios de contacto, las suscripciones a boletines informativos y otros formularios, debe tener un aviso claro que indique que los datos se recogerán y tratarán. El usuario tiene que aceptar (no excluirse) que está de acuerdo con esto, por lo que debe haber una casilla para que lo haga.

Un ejemplo de aviso podría ser el siguiente:

Este formulario recoge su nombre y su correo electrónico para que podamos enviarle boletines con artículos interesantes y las últimas novedades inmobiliarias. Consulte nuestra política de privacidad para saber más sobre cómo protegemos y gestionamos los datos que nos envía.

Al hacer clic en «Política de privacidad", el usuario debería acceder a una página de su sitio web que contenga su política de privacidad conforme al GDPR. Esta política de privacidad revelará por completo sus prácticas de recopilación y almacenamiento de datos, véase más abajo para obtener más información.

Los datos del formulario cumplimentado deben ser fechados y almacenados para que puedan ser recuperados posteriormente en un proceso de auditoría al que acceda el usuario.

Es preferible utilizar un proceso de doble opt-in para las suscripciones de marketing, como los boletines de noticias.

Aviso sobre la política de privacidad del sitio web

Debe tener una política de privacidad que sea concisa, transparente, inteligible y de fácil acceso y que esté escrita en un lenguaje claro y sencillo. Si tiene un sitio web multilingüe, esta política debe estar disponible en todos los idiomas.

Es satisfactorio poner un enlace a su página de política de privacidad en el pie de página de su sitio web, pero también debería enlazar con la página siempre que pida a un usuario que consienta que se recojan sus datos (véase más arriba).

Su política de privacidad debe incluir la siguiente información:

  • Su identidad y datos de contacto (de la empresa)
  • Qué datos se recogen
  • La base jurídica para el tratamiento de los datos
  • Detalles de los terceros con los que se comparten los datos
  • Cómo se utilizará la información
  • Cuánto tiempo se almacenarán los datos
  • Los derechos del usuario
  • Cómo puede el usuario presentar una reclamación

Si tiene algún formulario de precalificación hipotecaria, puede que tenga que incluir que los datos pueden estar sujetos a la toma de decisiones automatizada, incluida la elaboración de perfiles e información sobre cómo se toman las decisiones, su importancia y sus consecuencias.

Acceso del usuario a los datos almacenados

Los usuarios de los sitios web de las agencias inmobiliarias tienen derecho a acceder a los datos que han facilitado y a modificarlos, eliminarlos o descargarlos. Los datos incluyen los comentarios que hayan hecho en su sitio web, las suscripciones al boletín informativo, los formularios de contacto que hayan rellenado o cualquier otro formulario en el que hayan añadido datos personales.

Si los datos del usuario se guardan en el sitio web, deben poder acceder a ellos fácilmente. Una solución a este elemento del GDPR para las agencias inmobiliarias en España es permitir a los usuarios solicitar un enlace que se les envía por correo electrónico y que lleva a una página temporal donde pueden ver, descargar y eliminar sus registros.

El problema es que hay muchas formas diferentes de mantener y estructurar los datos en un sitio web, y muchas plataformas web diferentes. Si su sitio web está construido en la plataforma WordPress, por ejemplo, hay una multitud de plugins de formularios de contacto y boletines informativos entre los que puede elegir y cada uno de ellos almacena los datos de una manera diferente.

Muchos sistemas no guardan los datos en el sitio web, sino que le envían un correo electrónico o, en el caso de Respacio, inyectan los datos directamente en su CRM. Si esos datos no se almacenan en su sitio web, sino en su CRM, entonces debe haber un proceso claro que muestre cómo se pueden ver, editar, eliminar y descargar los datos, véase la sección sobre sistemas de gestión de contactos más adelante.

Si los datos se guardan en su servidor de correo electrónico, tendrá que poder enviar copias de esos correos electrónicos a sus clientes si lo solicitan y borrarlos si es necesario (a menos que haya una razón legal para no hacerlo).

Seguridad de los datos

La seguridad de los datos es un elemento clave del GDPR. Es su responsabilidad garantizar la seguridad de los datos de los usuarios en su sitio web. Debe asegurarse de que las contraseñas son lo suficientemente complicadas para que no puedan ser fácilmente pirateadas y de que dispone de un software para proteger sus datos de terceros malintencionados y para detectar si el sitio ha sido pirateado.

Procesos de violación de datos

En caso de que se produzca una filtración de datos, debe tener un proceso preparado para aplicarlo. Si su sitio web ha sido hackeado, lo primero que tiene que hacer es saber que esto ha sucedido. Debe tener instalado un software que pueda detectar dicho hackeo y alertarle.

Si el hackeo ha dado lugar a una posible filtración de datos, hay que informar a los usuarios cuyos datos pueden haber sido robados y a las autoridades en un plazo de 72 horas. El GDPR para los agentes inmobiliarios en España significa asegurarse de tener un proceso preparado en caso de que se produzca dicha infracción.

GDPR para los sistemas de gestión de contactos de los agentes inmobiliarios

Tanto si almacena sus datos de contacto en una hoja de cálculo, en un sistema en un servidor local o en una nube, su almacenamiento de datos está sujeto a la nueva normativa del GDPR.

Como agente inmobiliario que recoge y procesa datos, se le define como «responsable del tratamiento" en la normativa. Si almacena esos datos en sus propios ordenadores, también es un «procesador de datos" y se le aplicarán otras normas. Es un escenario mucho mejor utilizar un sistema de gestión de contactos inmobiliarios basado en la nube para limitar sus responsabilidades que los sistemas basados en un PC o en un servidor local. Los sistemas populares basados en servidores/ordenadores, como Infocasa, dificultan mucho el acceso o la edición de los datos por parte del usuario.

Si su CRM no cumple la ley, ¿qué significa para usted? Como responsable del tratamiento de datos, sus obligaciones no cambian. Todavía se espera que cumpla y sus días de gracia terminan el25 de mayo. ¿Qué hará si sus clientes solicitan ver (Art. 15 GDPR – Derecho de acceso del interesado), editar (Art. 16 GDPR Derecho de rectificación), solicitud de supresión (Art. 17 GDPR Derecho al borrado («derecho al olvido") o a la descarga (Art. 20 GDPR Derecho a la portabilidad de los datos) sus datos personales?

Hay tres áreas clave que hay que tener en cuenta: el acceso de los usuarios a los datos y su capacidad para editar y eliminar sus registros, la seguridad de los datos y cómo hacer frente a una infracción.

Hemos mirado 62 sistemas de gestión de contactos que ofrecen sistemas inmobiliarios específicos para España y descubrimos que ninguno de sus sitios web mencionaba que cumpliera o incluso se preparara para la GDRP (o RGPD como se denomina en español). ¿Quizás sea el momento de considerar la migración a Respacio?

Los usuarios controlan sus datos

Como hemos visto, un usuario debe poder acceder, editar y borrar sus datos. Sin embargo, en una agencia inmobiliaria típica, los datos de los usuarios pueden estar en una variedad de lugares y este elemento del GDPR para los agentes inmobiliarios en España puede ser complicado de cumplir.

Deberá realizar una auditoría de datos para conocer todos los lugares en los que pueden estar almacenados los datos de los usuarios. Si utiliza un sistema como Respacio, esto es mucho más fácil ya que los datos están centralizados y el sistema está preparado para el GDPR.

Los lugares en los que se pueden almacenar los datos personales pueden ser:

  • Su sistema de gestión de contactos
  • Su sistema de correo electrónico
  • Su sistema financiero
  • Redes sociales
  • Hojas de cálculo
  • Otras bases de datos
  • Herramientas de marketing electrónico

Si un usuario necesita una copia de sus datos, entonces necesitará una copia de cada instancia, en todos estos lugares.

Es probable que sus sistemas de gestión de contactos y de correo electrónico sean los principales silos de información y debe asegurarse de que, si lo solicita, un usuario pueda acceder a esta información.

En el sistema Respacio se puede conceder a un usuario un inicio de sesión de acceso personal al sistema en el que puede ver sólo sus propios datos, incluyendo su registro, la correspondencia por correo electrónico y cualquier evento, documento u hoja de cálculo asociados a él.

Pueden editar esta información y solicitar su eliminación. Todos los registros sobre ese usuario que pueden identificar a la persona se eliminan o se anonimizan. Este proceso es mucho más fácil cuando la información está centralizada.

Debe asegurarse de que existen procesos similares en el CRM que utiliza.

Seguridad de los datos de CRM

Si utiliza un CRM y otros sistemas que guardan registros en sus propios servidores u ordenadores, entonces las nuevas leyes le clasificarán como procesador de datos además de controlador de datos. Como procesador de datos tendrá que asegurarse de que cumple con los requisitos de seguridad del GDPR. En este caso, deberá ponerse en contacto con su empresa de informática y realizar una auditoría completa.

Muchos de los sistemas CRM diseñados por las agencias inmobiliarias en España se basan en servidores locales o PCs y todos los datos de los clientes se guardan en ellos. Para proteger y limitar sus responsabilidades legales y reducir los costes, debería pasarse a un sistema basado en la nube que le proporcionará más seguridad para sus datos.

El GDPR es muy claro en cuanto a que la seguridad de los datos de los usuarios es su responsabilidad y que debe hacer todo lo posible para garantizar que estén seguros y protegidos.

El punto más débil de entrada a cualquier sistema son las credenciales del usuario, el nombre de usuario y la contraseña. Debe asegurarse de que los usuarios de su sistema no utilicen contraseñas cortas y sencillas que sean fáciles de piratear. Si lo son, entonces, según el GDPR, esto se consideraría un fallo de seguridad y, en el caso de una violación de datos en la que su sistema haya sido penetrado a través de un sistema de contraseñas inadecuado y se haya producido una violación de datos, podría ser responsable de una multa.

Las contraseñas también deberían restablecerse a intervalos regulares e idealmente, como en el caso de Respacio, un usuario no podría iniciar sesión desde múltiples lugares o dispositivos. Esto ayuda a evitar el acceso no autorizado y garantiza el cumplimiento del GDPR para los agentes inmobiliarios en España.

Violación de datos

En el caso de que se produzca una violación de datos y los registros de los usuarios puedan haber sido comprometidos, es su responsabilidad informar a los usuarios y a las autoridades que puedan haberse visto afectados de que se ha producido la violación y de los datos personales que puedan haberse tomado en un plazo de 72 horas. Debe tener un proceso establecido para hacerlo.

El sistema Respacio, por ejemplo, proporciona la infraestructura para llevar a cabo un proceso de violación de datos, pero en las circunstancias en que los datos se mantienen en sus propios servidores, tendrá que implementar este proceso usted mismo.

Otros procesos para cumplir con el GDPR para las agencias inmobiliarias en España

Los walk-ins y el GDPR

Si un cliente entra en su oficina y se inscribe en su agencia, tendrá que firmar un formulario de consentimiento en el que se explica que usted guardará y procesará sus datos. Este formulario debe informarles de sus derechos legales, del mismo modo que su política de privacidad. Si tiene la intención de enviarles un boletín de noticias, deben marcar una casilla en este formulario dando su consentimiento para hacerlo. Debe guardar este formulario firmado en caso de una futura auditoría.

Colaboradores y otros agentes con los que trabaja

Si tiene colaboradores que introducen prospectos en su empresa, o usted introduce prospectos en otra empresa, necesitará el permiso del cliente. Conseguir su consentimiento por teléfono no es suficiente, a menos que el consentimiento se registre con su consentimiento previo. También deberá conservar este consentimiento en caso de una futura auditoría.

Por lo tanto, debe asegurarse, sea cual sea el lado de esa ecuación en el que se encuentre, de que su colaborador cumple con el GDPR o puede ser responsable. Esto implicará la firma de un contrato entre las dos partes.

Los colaboradores que le presenten clientes deben acordar deben firmar un contrato con usted en el que se declare que cumplen con el GDPR y que todos los clientes cuyos datos se le pasen a usted han consentido específicamente esa transferencia de datos, y su empresa ha sido nombrada como receptora de los datos. Como precaución adicional, puede enviar un correo electrónico al cliente para informarle de la información que se le ha transmitido y confirmar su permiso para procesarla.

Un resumen de los pasos que debe dar para el GDPR

A continuación se presenta una lista de comprobación que debe realizar para garantizar que su organización cumple con el GDPR:

Páginas web

  1. Compruebe que está mostrando un aviso de cookies correctamente y que los usuarios optan por las cookies que pueden identificarlos, como las cookies de marketing
  2. Asegúrese de que existe un proceso por el cual los usuarios pueden ver, editar, descargar y eliminar sus datos si se mantienen en una base de datos en su sitio web.
  3. Actualice su software de seguridad para poder detectar cualquier violación de datos
  4. Cambie las contraseñas con regularidad y asegúrese de que tengan al menos 10 caracteres, utilizando una mezcla de mayúsculas, no mayúsculas y símbolos.
  5. Poner en marcha un proceso en caso de violación de datos para informar a las autoridades y a los usuarios.
  6. Actualice su política de privacidad y su política de cookies.
  7. Asegúrese de que todos los formularios avisan a los usuarios de que deben dar su consentimiento para almacenar y procesar los datos.

Sistemas de gestión de contactos

  1. Asegúrese de que el sistema de gestión de contactos que utiliza cumple con el GDPR
  2. Consolide los datos de sus usuarios en un solo lugar, como su CRM, para que en caso de una solicitud de datos se pueda agilizar el proceso
  3. Permitir a los usuarios la opción de ver, editar, descargar y eliminar sus datos
  4. Asegúrese de que dispone de protocolos de seguridad adecuados, como el uso de contraseñas seguras, el cambio periódico de las mismas y la garantía de que los usuarios sólo pueden iniciar sesión desde un dispositivo a la vez.
  5. Poner en marcha un proceso en caso de violación de datos para informar a las autoridades y a los usuarios.

Procesos generales de oficina

  1. Forme a su equipo para que entienda sus obligaciones y lo que significa el GDPR para agentes inmobiliarios en España en su forma de trabajar.
  2. Examine sus sistemas para saber dónde se encuentran los datos de los clientes, como hojas de cálculo, herramientas de marketing y otros programas informáticos, y consolídelos en un solo lugar.
  3. Garantizar que se obtiene el consentimiento de los clientes que acuden a la consulta y llamar por teléfono a los clientes para obtener su consentimiento para almacenar y procesar sus datos.
  4. Revisar y actualizar sus procesos y contratos con los agentes introductores y otros colaboradores

La AEPD (Agencia Española de Protección de Datos) ofrece un sistema para ayudarle a crear acuerdos con sus proveedores y clientes, así como la redacción de consentimientos en inglés y español. Puede encontrar la herramienta aquí.

Podemos ayudarle.

Podemos ayudarle a cumplir la normativa. Podemos revisar su sitio web, recomendar y el software adecuado para garantizar que cumplen con los requisitos del GDPR y, si lo desea, también podemos implementarlo por usted.

También podemos ayudarle con sus sistemas de gestión de contactos. Respacio cumple con el GDPR, y podemos migrar los datos de sus sistemas existentes para que no se pierda nada.

Si desea que le ayudemos, sólo tiene que rellenar el siguiente formulario para obtener una evaluación gratuita y sin compromiso de su sitio web, información sobre cómo migrar al CRM de Respacio o simplemente para mantenerse en contacto con las últimas novedades sobre cómo afecta el GDPR a los agentes inmobiliarios en España.

Descargo de responsabilidad Hemos hecho todo lo posible para garantizar la exactitud y fiabilidad de la información proporcionada en este informe sobre el GDPR para los agentes inmobiliarios en España.. Sin embargo, la información se proporciona «tal cual" sin garantía de ningún tipo. No aceptamos ninguna responsabilidad por la exactitud, el contenido, la integridad, la legalidad o la fiabilidad de la información contenida. No seremos responsables de ninguna pérdida o daño de cualquier naturaleza (directa, indirecta, consecuente o de otro tipo), ya sea por contrato, agravio o de otro modo, que pueda surgir como resultado de su uso (o falta de uso) de la información contenida en este artículo.