Diversas empresas inmobiliarias a nivel internacional han enfrentado sanciones significativas por parte de los organismos de control debido a que han violado las normas y estándares para la Protección de Datos Personales; pero… ¿En qué se han equivocado?
Primero que todo debemos comprender que una empresa inmobiliaria facilita la compra, venta, alquiler y gestión de propiedades, y para hacerlo no solo requiere información sobre las características de los inmuebles, sino que necesita los datos personales de sus dueños junto con la documentación legal que los acredita como propietarios; además, requiere la información personal de los prospectos a los que se les pueden ofrecer los inmuebles, junto con sus preferencias y algunos datos financieros, siendo estos últimos datos necesarios, independientemente que vaya a pagar de contado en la compra.
Con base en lo anterior se observa que las inmobiliarias no solo tratan los datos personales de sus socios y empleados, lo cual requiere del ejercicio de ciertas minuciosidades, sino que almacenan y utilizan datos personales de terceros que tienen cierta capacidad económica, por lo que su operación administrativa y técnica debe ser más rigurosa.
Respondiendo entonces a la inquietud planteada, podemos decir que la mayoría de inmobiliarias se equivocan al recopilar y/o retener información personal sin la adecuada justificación, ello significa que muchas veces piden más datos de los que requiere su operación, y exceden en el tiempo de retención de los mismos a pesar que su ciclo de vida haya finalizado. Adicional a lo anterior, la falta de actualización de la información, la existencia de datos obsoletos, y la carencia de medidas de seguridad, adecuadas y eficientes, que garanticen la privacidad y confiabilidad de los datos almacenados son tres factores que han contribuido a la imposición de sanciones.
Entonces… ¿Qué se debe hacer?
Toda empresa inmobiliaria, sin perjuicio de tener que cumplir todos los parámetros de la Ley, debe enfocarse en estos cinco aspectos específicos:
- Base Legal y Propósito: Antes de recopilar o procesar datos personales, es esencial que cuente con una base legal específica y un propósito legítimo para el tratamiento. Debe conocer qué datos necesita, para qué los va a usar y cuánto tiempo transcurrirá desde que los captura hasta que ya no los necesite. Esto implicará informar claramente a los individuos involucrados (vendedor – comprador) sobre la finalidad del procesamiento de sus datos, y obtener su consentimiento para el tratamiento de los mismos.
- Gestión de la Retención de Datos: Las empresas deben establecer políticas y procesos para gestionar la retención y eliminación de datos de manera regular. Mantener información obsoleta o innecesaria aumenta el riesgo de incumplir las regulaciones de privacidad.
- Medidas de Seguridad Efectivas: Implementar medidas técnicas y organizativas fuertes será esencial para garantizar la seguridad de los datos, recordando con esto que al almacenar datos financieros pueden poner a las personas en la mira de los ciber- delincuentes, secuestradores, extorsionistas y suplantadores. Entre las medidas que se deben considerar están el cifrado de datos, la gestión de accesos, la formación del personal y la realización de evaluaciones de riesgos de manera periódica.
- Transparencia y Derechos de los Individuos: Las inmobiliarias deben ser transparentes con sus clientes, indicándoles en todo momento cómo se tratarán sus datos, a qué derechos pueden acudir y cómo hacerlos valer. Esto implica hacer visibles las políticas de privacidad y establecer canales de atención para los titulares.
- Gestión de Incidentes de Seguridad: Este tipo de empresas debe estar preparado para gestionar y notificar rápidamente cualquier violación de datos. Con esto se recuerda lo que dice la SIC: “Informar inmediatamente se produzca un incidente puede reducir la sanción y facilita tomar medidas preventivas por parte de los organismos de control y de los individuos afectados”.
Y… Qué no se debe hacer?
Lo que definitivamente no debe hacer una empresa inmobiliaria es recopilar datos innecesarios, Ignorar la obligación de gestionar y eliminar datos obsoletos, y desatender las necesidades de seguridad, especialmente el cifrado y la gestión de accesos.
Priorizar la protección de datos personales, cumplir con los principios de la Ley 1581 y adoptar un sistema de gestión de la privacidad dentro la organización será fundamental para que las empresas inmobiliarias minimicen o sean ajenas a los riesgos de multas y la pérdida de su reputación. Las sanciones ya impuestas, entonces, nos sirven como recordatorio de que el incumplimiento de las normas y los estándares tienen las consecuencias significativas para el desarrollo de nuestros negocios.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
