¿Deben los arquitectos cumplir con la normativa de protección de datos? ¿Qué obligaciones RGPD y LOPD-GDD deben contemplar arquitectos y/o estudios de arquitectura para adaptarse a la normativa? En esta guía de protección de datos para arquitectos responderemos a estas y otras cuestiones relacionadas.
En este artículo hablamos de:
- ¿Deben los arquitectos cumplir con la Ley de Protección de Datos?
- Normativa de protección de datos para arquitectos
- Cómo adaptar la normativa de Protección de Datos para arquitectos
- Obtener el consentimiento expreso de los interesados
- Registro de actividades de tratamiento
- Análisis de riesgos
- Contratos de encargo del tratamiento
- Acuerdos de confidencialidad
- Informar a los interesados de sus derechos
- Cumplir con la legalidad en la página web
- Notificar brechas de seguridad
- Realizar auditorías periódicas
- Sanciones en protección de datos para arquitectos
- Preguntas frecuentes
- ¿Necesita un arquitecto designar un delegado de protección de datos?
- ¿Durante cuánto tiempo pueden los arquitectos conservar datos personales?
- ¿Debe el arquitecto firmar un contrato de encargo del tratamiento con sus subcontratistas?
- ¿Si los clientes del arquitecto solo son empresas, es necesario aplicar la protección de datos?
- ¿Eres arquitecto y necesitas cumplir con el RGPD y la LOPD-GDD? Contacta con Grupo Atico34
¿Deben los arquitectos cumplir con la Ley de Protección de Datos?
En el desempeño de su actividad, los arquitectos o los estudios de arquitectura pueden llegar a tratar con datos personales de clientes, empleados y otros socios o proveedores, por lo tanto, los arquitectos deben cumplir con la Ley de Protección de datos. Tanto si se trata de un arquitecto autónomo como un estudio de arquitectura con varios empleados, ambos tipos de negocio deben cumplir con las obligaciones de protección de datos para arquitectos.
Normativa de protección de datos para arquitectos
La normativa de protección de datos para arquitectos está recogida en:
- RGPD (Reglamento General de Protección de Datos)
- LOPD-GDD (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales)
RGPD para arquitectos
El RGPD entró en vigor en España en mayo de 2018 y trajo consigo principios y obligaciones en materia de protección de datos que organizaciones públicas y privadas deben cumplir a la hora de tratar datos de carácter personal de sus clientes, usuarios, empleados, socios, proveedores, etc., siempre que estos sean personas físicas.
Estas obligaciones en protección de datos para arquitectos las veremos más adelante, pero entre los aspectos más importantes que introdujo el RGPD en la legislación española sobre protección de datos están el consentimiento expreso de los interesados para el tratamiento de sus datos, el principio de responsabilidad proactiva, es decir, la necesidad de aplicar medidas técnicas y organizativas que garanticen la protección de datos desde el diseño (antes de llevar a cabo ningún tratamiento de datos), las categorías especiales de datos, la obligatoriedad de informar sobre las brechas de seguridad y la introducción de nuevos derechos ARCO (actuales ARSULIPO).
LOPD-GDD para arquitectos
La LOPD-GDD es la adaptación del RGPD al ordenamiento jurídico español, por lo que en gran medida su articulado coincide con el del Reglamento europeo, de manera que cumplir con ella es cumplir con el RGPD. Es cierto que la ley española profundiza y detalla más algunos aspectos (que el RGPD deja a discreción de los Estados miembros), como por ejemplo, la gradación de las infracciones y sanciones o los derechos de los fallecidos sobre sus datos personales.
Además, la LOPD-GDD establece que es la AEPD (Agencia Española de Protección de Datos) la autoridad de control competente en materia de protección de datos en España, con poder sancionador.
Cómo adaptar la normativa de Protección de Datos para arquitectos
En los siguientes epígrafes veremos cuáles son las principales obligaciones en materia de protección de datos que deben contemplar y cumplir los arquitectos o los estudios de arquitectura.
Obtener el consentimiento expreso de los interesados
Como hemos dicho, el consentimiento expreso fue una de las novedades que introdujo el RGPD; para los estudios de arquitectura o arquitectos implica que cada vez que vayan a tratar datos personales de clientes, empleados, proveedores o socios, deben recabar este consentimiento expreso de ellos a través de una acción afirmativa, lo puede hacerse mediante la firma de la cláusula de protección de datos en contratos o cualquier otro documento.
El consentimiento expreso debe quedar registrado y es válido solo para la finalidad para la que haya sido recabado, siendo necesario volver a conseguirlo si esta finalidad cambia o los datos personales se van a usar contra finalidad diferente que no pueda legitimarse en la relación contractual existente.
Registro de actividades de tratamiento
El registro de actividades de tratamiento es una obligación que deberán cumplir los estudios de arquitectura o arquitectos en protección de datos cuando traten datos personales de manera sistemática, a gran escala o traten datos de categorías especiales. También si la firma emplea a más de 250 trabajadores.
El registro de actividades de tratamiento debe mantenerse por escrito y estar siempre lo más actualizado posible. Recoge y documenta todos los tratamientos de datos que realiza el arquitecto o estudio de arquitectura (como pueden ser fichas de clientes, fichas de empleados, bases de datos para comunicaciones comerciales, etc.). Aunque no es necesario inscribir el registro de actividades de tratamiento en ningún sitio, sí debe estar disponible si la AEPD lo solicita.
El contenido mínimo debe figurar en el registro es el siguiente:
- Datos identificativos del responsable del tratamiento (el arquitecto o el estudio de arquitectura) y, si procede, los del encargado o encargados del tratamiento (y los representantes, si los hubiera), así como del delegado de protección de datos
- Finalidad del tratamiento
- Base legitimadora del tratamiento
- Descripción de categorías de interesados y datos
- Descripción de categorías de destinatarios de datos (existentes y previstos)
- Transferencias internacionales de datos y sus garantías (si fueran a producirse)
- Plazo de conservación de los datos (previsto cuando no sea posible dar uno definitivo)
- Descripción de las medidas de seguridad implementadas (si es posible)
Análisis de riesgos
Arquitectos y/o estudios de arquitectura deberán, siempre con carácter previo a cualquier tratamiento de datos personales, llevar a cabo un análisis de riesgos, para determinar qué amenazas pueden afectar a los datos personales que manejan, derivadas del propio tratamiento (por ejemplo, si el arquitecto tiene una base de datos con nombre y direcciones de sus clientes, el análisis de riesgos podría determinar que de no estar cifrada y protegido su acceso por contraseña, la base de datos estaría expuesta a accesos de terceros no autorizados y a posibles filtraciones de datos).
El análisis de riesgos en protección de datos sirve para determinar qué amenazas existen para los derechos y libertades de los interesados (los titulares de los datos) derivadas del tratamiento de sus datos y las probabilidades de que dichas amenazas se materialicen.
El resultado del análisis de riesgos servirá también para determinar qué medidas de seguridad (técnicas y organizativas) es necesario implementar para reducir el nivel de riesgo de los tratamientos de datos y, por tanto, minimizar también las posibilidades de materialización de las amenazas, así como el impacto que dicha materialización podría tener en la privacidad de los interesados.
¿Necesitan los arquitectos hacer una evaluación de impacto?
Salvo que el análisis de riesgos indique un nivel de riesgo elevado para los derechos y libertades de los interesados o el arquitecto o estudio de arquitectura trate con datos personales de categorías especiales, en principio, no es necesario que este lleve a cabo una evaluación de impacto en protección de datos.
Contratos de encargo del tratamiento
Cualquier cesión de datos a terceros, para que estos puedan prestar un servicio que necesite el arquitecto o estudio de arquitectura (como puede ser servicios de marketing o de gestión de empleados, por ejemplo), requiere que se firme un contrato de encargo de tratamiento.
Este contrato debe recoger finalidad del tratamiento, las medidas de seguridad, plazo de conservación de los datos, así como otras obligaciones en materia de protección de datos que sean necesarias contemplar, que el responsable del tratamiento delega en el encargado del tratamiento.
Acuerdos de confidencialidad
Los acuerdos de confidencialidad para arquitectos o estudios de arquitectura pueden dividirse en dos sentidos, por un lado, respecto a la protección de datos y, por otro lado, respecto a la confidencialidad de los proyectos.
En cuanto a la protección de datos, que es lo que nos ocupa en esta guía de protección de datos para arquitectos, este acuerdo de confidencialidad se firmará con los empleados que pueda tener a su cargo el arquitecto o que trabajen en el estudio de arquitectura, ya que estos deben cumplir con las obligaciones en materia de protección de datos, respetando y aplicando las medidas de seguridad implementadas y no divulgando o usando para sus propios fines los datos personales de los clientes del arquitecto o el estudio, de sus otros empleados, socios o proveedores.
El acuerdo de confidencialidad puede ser un documento anexo al contrato de trabajo o ser una cláusula del mismo.
Informar a los interesados de sus derechos
Es obligación para el arquitecto o el estudio de arquitectura, informar a los interesados del tratamiento o tratamientos de sus datos personales. Esta información puede suministrarse de diferentes formas (como anexo a los contratos, presupuestos o facturas, por ejemplo) y debe tener este contenido mínimo:
- Nombre del responsable del tratamiento
- Legitimación para la recogida y tratamiento de los datos
- Finalidad del tratamiento
- Si se van a ceder datos a terceros e identidad de los mismos
- Plazo de conservación de los datos
- Vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento), incluyendo cómo interponer una reclamación ante la AEPD
Cumplir con la legalidad en la página web
Muchos estudios de arquitectura y arquitectos tienen una página web para promocionar el estudio, mostrar sus trabajos y entablar un primer contacto con sus clientes. La normativa de protección de datos exige a los arquitectos que cumplan también con la legalidad en su página web.
Esta obligación implica incluir en la página web del arquitecto o estudio de arquitectura los correspondientes textos legales web, que deben estar redactados de manera comprensible y accesibles desde cualquier sección del sitio online, motivo por el que habitualmente los encontramos enlazados en el footer (parte inferior de la página).
Los textos legales que no pueden faltar en la página web del estudio de arquitectura o del arquitecto para cumplir con la protección de datos son:
- El aviso legal, en el que aparecen todos los datos identificativos del propietario de la web y del negocio:
- Nombre o razón social
- NIF/CIF
- Dirección
- N.º de inscripción en el Registro Mercantil / N.º de colegiado
- Términos de uso de la web
- Condiciones de contratación (si procede)
- Política de privacidad, donde se recogerá toda la información relativa a la gestión de datos personales en la web:
- Responsable del tratamiento
- Finalidad del tratamiento
- Legitimación del tratamiento
- Gestión de los datos personales
- Plazo de conservación de los datos
- Si se ceden datos a terceros (y su identidad)
- Uso de cookies
- Vía para ejercer los derechos ARSULIPO
- Política de cookies, en la que se informa de todas las cookies que emplea la web, su tipo, finalidad, titularidad y duración. Así mismo, también deberá saltar un aviso de cookies cada vez que un usuario entre por primera vez a la web, con la información básica sobre estas y la posibilidad de aceptarlas o rechazarlas, incluyendo un enlace a la política de cookies.
Además de estos textos legales web, si el sitio online del arquitecto o estudio de arquitectura emplea formularios de contacto, estos deberás cumplir con la normativa, es decir, ofrecer una primera capa informativa sobre la política de privacidad y contar con una casilla de aceptación o checkbox para aceptar dicha política, además de un enlace que lleve a ella.
Así mismo, si en la información sobre sus trabajos, que el arquitecto o estudio de arquitectura ofrece en su web, aparece algún dato personal, como podría ser un nombre o la dirección de una obra que haya realizado para un cliente particular, deberá contar con el consentimiento expreso de este para difundir esos datos.
Notificar brechas de seguridad
En el caso de sufrir una brecha de seguridad que pueda exponer los datos personales que trata el arquitecto o estudio de arquitectura y que dicha información pueda suponer un riesgo para la privacidad de los interesados, así como para sus derechos y libertades, el responsable del tratamiento deberá notificar dicha brecha de seguridad a la AEPD y los interesados afectados en un plazo no superior a 72 horas.
Realizar auditorías periódicas
Aunque la auditoría LOPD no es una obligación recogida explícitamente en la normativa de protección de datos, como esta sí exige demostrar que el arquitecto o estudio de arquitectura cuenta con las medidas técnicas y organizativas necesarias, adecuadas y suficientes para garantizar la seguridad de los datos, realizar estas auditorías resulta útil para asegurar la efectividad de las medidas implementadas o, cuanto menos, para detectar carencias o problemas de seguridad que sea necesarios solucionar.
Las auditorías de protección de datos deben hacerse por una consultora externa especializada en la materia y, como mínimo, cada dos años.
Sanciones en protección de datos para arquitectos
No cumplir con la normativa de protección de datos para arquitectos o estudios de arquitectura es motivo de sanción.
Si miramos el RGPD, este recoge dos rangos de sanciones:
- Hasta 10 millones de euros o el 2% de la facturación anual (la cuantía que resulte superior) para las infracciones graves
- Hasta 20 millones de euros o el 4% de la facturación anual para las infracciones muy graves
Por su parte, la LOPD-GDD es algo más concreta y establece los siguientes rangos de infracciones y sanciones:
- Infracciones leves (artículo 74): sanción de hasta 40.000 euros
- Infracciones graves (artículo 73): sanción entre 40.001 euros a 300.000 euros
- Infracciones muy graves (artículo 72): sanción entre 300.001 euros a 20 millones de euros o el 4% de la facturación anual
Preguntas frecuentes
¿Necesita un arquitecto designar un delegado de protección de datos?
En principio, ni los arquitectos ni los estudios de arquitectura están obligados a designar un delegado de protección de datos (DPO).
¿Durante cuánto tiempo pueden los arquitectos conservar datos personales?
Dependerá del tipo de documentación que contenga los datos personales y las normativas aplicables en cada caso (por ejemplo, la documentación fiscal debe conservarse durante 4 años y los informes sobre prevención de riesgos laborales 5 años).
Por su parte, el RGPD y la LOPD-GDD establecen que es obligación del responsable del tratamiento establecer el período de conservación de los datos personales, siendo este el mínimo necesario para cumplir con la finalidad para la que fueron recogidos (y teniendo en cuenta otras normativas aplicables).
Por lo tanto, el plazo de conservación de datos personales será el mínimo para cumplir con la finalidad y para dar cumplimiento a otras obligaciones legales que pueden atañer a determinada documentación.
¿Debe el arquitecto firmar un contrato de encargo del tratamiento con sus subcontratistas?
Si el arquitecto o estudio de arquitectura ceder datos personales de sus clientes a un subcontratista, para la prestación de algún servicio o la realización de una obra, deberán firmar entre ambos un contrato de encargo del tratamiento.
Es posible que el subcontratista pueda o quiera utilizar esos datos personales para sus propios fines, en cuyo caso actuará como responsable del tratamiento y deberá recabar el correspondiente consentimiento de los interesados.
¿Si los clientes del arquitecto solo son empresas, es necesario aplicar la protección de datos?
Respecto a los clientes, no sería necesario aplicar la protección de datos, puesto que está solo afecta a los datos de las personas físicas y no a los de las personas jurídicas.
Ahora, si el arquitecto tiene empleados a su cargo, respecto a sus datos sí deberá aplicar el RGPD y la LOPD-GDD.
¿Eres arquitecto y necesitas cumplir con el RGPD y la LOPD-GDD? Contacta con Grupo Atico34
Tanto si eres un arquitecto autónomo como si tienes un estudio de arquitectura, necesitas cumplir con las obligaciones del RGPD y la LOPD-GDD si no lo estás haciendo ya. Pero, cómo has visto, cumplir con la normativa de protección de datos puede resultar una tarea compleja, especialmente si no se tienen conocimientos en la materia, y que consume tiempo.
Por esos motivos, lo mejor es recurrir a los servicios de un experto, como los que encontrarás en Grupo Atico34, un equipo profesional, con abogados expertos en protección de datos, que te ayudarán y asesorarán en todo momento para que tu estudio o firma de arquitectura cumpla con la normativa y evitar así sanciones por parte de la AEPD.
Desde la auditoría, pasando por la redacción de la documentación obligatoria, hasta los textos legales de tu página web, los profesionales de Grupo Atico34 se asegurarán de que cumples completamente con la Ley de Protección de Datos y te informarán sobre cualquier novedad o modificación de la ley, para que tu negocio esté siempre dentro de la legalidad.