Curs en gestió immobiliària Mòdul: M11. Protecció de dades Curs 2023/2024 PDF
Document Details
Uploaded by DefeatedSalamander
Universitat d'Andorra
2023
Agència Andorrana de Protecció de Dades (APDA)
Tags
Summary
This document is a module on immobiliary management and data protection for the course 2023/2024 at the Universitat d'Andorra. It covers various topics related to the protection of personal data in the immobiliary sector, including related legislation and regulations.
Full Transcript
Curs en gestió immobiliària Mòdul: M11. Protecció de dades Curs 2023/2024 Professorat: Agència Andorrana de Protecció de Dades (APDA) M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Els continguts d’aquesta obra estan subjectes a una llicència de Reconeixement - No comercial S...
Curs en gestió immobiliària Mòdul: M11. Protecció de dades Curs 2023/2024 Professorat: Agència Andorrana de Protecció de Dades (APDA) M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Els continguts d’aquesta obra estan subjectes a una llicència de Reconeixement - No comercial Sense obres derivades 3.0 de Creative Commons. Se’n permet la reproducció, distribució i comunicació pública sempre que se’n citi l’autor i no se’n faci un ús comercial. La llicència completa es pot consultar a: http://creativecommons.org/licenses/by-nc-nd/3.0/es/legalcode.ca 2 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Índex 1. Introducció...............................................................................................5 2. Marc normatiu.........................................................................................6 3. Conceptes clau........................................................................................7 3.1. Afectat o interessat...........................................................................7 3.2. Consentiment de l’interessat............................................................7 3.3. Dada personal...................................................................................8 3.4. Agents i gestors immobiliaris............................................................8 3.5. Administrador de finques..................................................................8 3.6. Comunitat de propietaris...................................................................9 3.7. Encarregat del tractament................................................................9 3.8. Pseudonimització..............................................................................9 3.9. Responsable del tractament.............................................................9 3.10. Tractament de dades personals (“tractament”)............................10 4. Principis de protecció de dades aplicables al sector.............................10 4.1. Licitud, lleialtat i transparència.......................................................11 4.2. Limitació de la finalitat....................................................................12 4.3. Minimització de les dades...............................................................12 4.4. Exactitud.........................................................................................12 4.5. Limitació del termini de conservació...............................................13 4.6. Integritat i confidencialitat..............................................................14 4.7. Responsabilitat proactiva................................................................14 5. Legitimació per al tractament de dades................................................15 3 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) 5.1. Consentiment..................................................................................16 5.2. Necessitat per a l’execució d’un contracte.....................................17 5.3. Compliment d'una obligació legal...................................................17 5.4. Interès legítim.................................................................................18 6. Finalitats i usos del tractament de dades..............................................18 7. El Registre d’Activitats de Tractament (RAT)........................................20 8. L’administrador de finques i altres encarregats de tractament............21 9. Els drets dels interessats.......................................................................22 9.1. Dret d'accés....................................................................................23 9.2. Dret de rectificació..........................................................................24 9.3. Dret de supressió............................................................................24 9.4. Dret de limitació del tractament.....................................................24 9.5. Dret de portabilitat de les dades.....................................................25 9.6. Dret d'oposició................................................................................25 10. Mesures de seguretat..........................................................................26 11. Anàlisi de casos concrets....................................................................27 11.1. Tractament excessiu de dades......................................................28 11.2. Necessitat de Delegat de Protecció de Dades (DPD)....................30 11.3. Instal·lació de càmeres de videovigilància....................................30 12. Bibliografia..........................................................................................32 4 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) 1. Introducció És una realitat que l’immobiliari és un dels sectors més importants del teixit empresarial andorrà. Els últims anys ha experimentat un creixement substancial per diversos factors. Atesa aquesta circumstància, el sector immobiliari ha passat a tractar una gran quantitat de dades personals comportant això extremar precaucions respecte a la recollida, gestió i custòdia de dades personals per part dels responsables i encarregats del tractament implicats. No és qüestió fútil que el tractament de dades que envolta aquest sector comporta habitualment no només un tractament elevat de dades de clients, proveïdors, empleats o altres tercers, sinó també el tractament de determinades dades que presenten un cert grau de sensibilitat com ara dades de menors, dades de salut o, inclús, dades relacionades amb infraccions administratives o penals. Sens dubte, les tecnologies emergents, com la intel·ligència artificial, han impactat significativament sobre aquest sector. El tractament automatitzat de grans volums de dades, l’aprenentatge automatitzat o el perfilat són realitats que ja representen la forma de gestionar dades d’aquest i altres sectors. L’objectiu d’aquest modul és oferir directrius i recomanacions a professionals del sector immobiliari a Andorra per garantir el compliment adequat de les regulacions de protecció de dades personals. Així mateix, s’espera que ajudi entitats i organitzacions del sector immobiliari a reforçar els seus programes de compliment en matèria de protecció de dades personals, atorgant major poder de disposició i control de les dades personals dels interessats, així com garanties més grans d’acord amb els principis de protecció de dades que emanen de la norma. El contingut d’aquest material docent ha estat fet en base amb la Guia de protecció de dades per al sector immobiliari, la qual la versió preliminar 5 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) va ser publicada per consulta pública al gener de 2024. Aquesta Guia s’anirà actualitzant i publicant a la pàgina oficial web de l’APDA segons les necessitats del mercat i les exigències de l’agencia. 2. Marc normatiu El marc que regula la protecció de dades entorn del sector immobiliari andorrà es compon de la llei de protecció de dades d’Andorra i la seva normativa de desenvolupament. En aquest sentit, resulten d’aplicació la Llei 29/2021, del 28 d’octubre, Qualificada de Protecció de Dades personals (d’ara endavant, la «LQPD») i el seu Reglament d'aplicació, el Decret 391/2022, del 28 de setembre, d'aprovació del Reglament d'aplicació de la Llei 29/2021, del 28 d’octubre, Qualificada de Protecció de Dades personals (d’ara endavant, el «RLQPD»). La normativa andorrana vigent en matèria de protecció de dades estableix les directrius i obligacions pel que fa al tractament de dades personals en els diferents sectors i activitats, inclosa la del sector immobiliari. En aquest sentit, regula, entre altres, la recollida, ús, difusió, emmagatzematge i custòdia de dades. En aquesta mateixa línia, la LQPD concreta, entre altres, principis i obligacions que cal complir per assegurar el tractament de dades amb garanties, l’exercici de drets dels interessats, les obligacions dels responsables i encarregats del tractament, així com les sancions aplicables en cas d’incompliment. D’altra banda, el RLQPD complementa i detalla les disposicions de la LQPD. Aquesta normativa proporciona instruments per garantir la correcta aplicació de la LQPD, inclosos, entre altres, els procediments pel registre d’activitats de tractament, la notificació de violacions de seguretat i la realització de les avaluacions d’impacte sobre la protecció de dades. 6 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Addicionalment, l’APDA s’ha posicionat en relació amb l’article 2.4.a) de la LQPD en què es disposa la no aplicació de la LQPD en el marc d’activitats exclusivament personals o domèstiques, sense cap connexió amb una activitat professional o comercial. En el cas de les rendes d’actius mobiliaris i immobiliaris, l'excepció domèstica no s'aplica als ingressos generats per activitats econòmiques o inversions en capital mobiliari i immobles quan hi hagi un interès lucratiu que va més enllà de l'àmbit privat o domèstic. A banda de la normativa general sobre protecció de dades, resulten d’aplicació les disposicions sectorials específiques que afectin el sector immobiliari. En aquest sentit, és possible que estableixin requisits addicionals sobre la recollida i/o tractament de dades personals, així com en la gestió de la informació relacionada amb les transaccions immobiliàries, tals com la venda o l’arrendament de propietats, entre altres. 3. Conceptes clau Dins el sector immobiliari, hi ha una sèrie de rellevants pel que fa a la protecció de dades. Aquests són els següents: 3.1. Afectat o interessat Persona física titular de les dades personals sotmeses a tractament. S’utilitza indistintament ambdós termes per referir-se al subjecte o persona física sobre la qual agents immobiliaris, administradors de finques o altres professionals tracten les seves dades personals. En general ostentarà la condició d’interessat l’arrendatari o el comprador d’un immoble (art. 4.2 LQPD, art. 3 a) RLQPD). 7 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) 3.2. Consentiment de l’interessat Qualsevol manifestació de voluntat lliure, específica o granular, informada i inequívoca per la qual la persona accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les dades personals que l’afectin. En tot cas, el consentiment ha d’estar separat de la resta d’operacions del tractament o els termes i les condicions (art. 4.2 LQPD; art. 3 c) RLQPD). 3.3. Dada personal Tota informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus relativa a una persona física identificada o identificable (“persona interessada”); s’entén per persona física identificable qualsevol persona amb una identitat que es pugui determinar, directament o indirectament, sense esforços desproporcionats, en particular mitjançant un identificador o un o diversos elements específics característics de la seva identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social. En el context immobiliari, les activitats solen comportar el tractament de les dades personals següents: nom i cognoms, adreces (postals o electròniques), números de telèfon, adreces de correu electrònic, informació financera, entre d'altres (art. 4.1 LQPD, art. 3 a) RLQPD). 3.4. Encarregat del tractament Persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament (art. 4.10 LQPD). 8 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) 3.5. Pseudonimització Tractament de dades personals que no permet atribuir-ne a una persona interessada sense utilitzar informació addicional, sempre que aquesta informació consti separadament i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixen a una persona física identificada o identificable (art.4.7 LQPD; art. 3f) RLQPD). 3.6. Responsable del tractament Persona física o jurídica, autoritat competent, pública si escau, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament de dades personals, i vetlla per al seu correcte compliment de conformitat a les normes en matèria de protecció de dades que són d’aplicació a les finalitats del tractament (art. 4.9 LQPD). 3.7. Tractament de dades personals (“tractament”) Qualsevol operació o conjunt d’operacions efectuades mitjançant procediments, automatitzats o no, sobre dades de caràcter personal, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, la difusió, la posada a disposició, o qualsevol altra forma d’habilitació d’accés, acarament o interconnexió, limitació, bloqueig, supressió o destrucció de dades, o l’aplicació d’operacions lògiques i/o aritmètiques a aquestes dades (art. 4.3 LQPD). 4. Principis de protecció de dades aplicables al sector El tractament de dades personals per part d’agents immobiliaris, administradors de finques, i altres professionals a Andorra s’ha de 9 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) realitzar d’acord amb la LQPD i el RLQPD, així com la normativa sectorial que resulti d’aplicació. És fonamental que els agents immobiliaris, els administradors de finques i altres professionals compleixin amb els principis següents resumits en la imatge següent: Imatge 1. Principis de protecció de dades aplicables al sector immobiliari. 4.1. Licitud, lleialtat i transparència Les dades han de ser tractades de manera lícita, lleial i transparent en relació amb l’interessat. Exemple: un agent immobiliari, en prestar un servei, informa l'interessat sobre el tractament de les seves dades, la finalitat del tractament i els seus drets, abans de recavar-los. Això es pot fer mitjançant un document d’alta com a client, amb la clàusula informativa corresponent. Pot 10 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) realitzar-se per via electrònica (mitjançant un formulari en línia) o en format paper. Cal informar abans de procedir al tractament o, en el seu defecte, si no fos possible, immediatament després de recollir-les. 4.2. Limitació de la finalitat Les dades han de ser recollides amb finalitats determinades, explícites i legítimes i posteriorment no s’han de tractar de manera incompatible amb aquestes finalitats. Exemple: un administrador de finques tan sols pot tractar les dades personals dels propietaris per a les finalitats que se li han estat encomanades. Entre aquestes finalitats hi pot haver la gestió comptable, fiscal o administrativa de la comunitat. No podria entendre’s compresa dins de la finalitat l’enviament de publicitat d’altres serveis que pugui prestar l’administrador. En aquest cas seria necessari el consentiment específic per part dels interessats, abans de procedir a aquest nou tractament. 4.3. Minimització de les dades Les dades han de ser adequades, pertinents i limitades a allò que és necessari en relació amb les finalitats per a les quals es tracten. Per assegurar-se que les dades recollides per una finalitat són les mínimes, es poden demanar per capes: es demanen un cert nombre de dades, i si després de l’anàlisi per part del responsable de tractament es considera que no són suficients per a la finalitat per les que són recollides, es podria demanar informació complementària. Exemple: un agent immobiliari hauria d’extralimitar-se a recavar dades necessàries, indispensables i que a la vegada fossin les mínimes. Si un agent immobiliari ofereix un immoble per llogar a un client, només quedaria legitimat recollir les dades personals del client necessàries per formalitzar el contracte d'arrendament, com ara el nom, els cognoms, 11 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) l'adreça o el número de telèfon. L’accés a altra informació, com els punts de la CASS que aporten informació sobre la vida laboral o les baixes mèdiques, seria contrari a aquest principi. Exemple: un agent immobiliari que vulgui valorar la solvència del possible llogater pot demanar-li un justificant de l’ingrés de la nòmina al compte bancari. Si l’agent immobiliari considera que aquesta informació no és suficient, pot demanar un certificat de treball de l’empresa on treballa, per conèixer l’antiguitat a la feina. 4.4. Exactitud Les dades han de ser exactes i és necessari actualitzar-les, amb l’adopció de les mesures raonables perquè es rectifiquin o se suprimeixin sense dilació les dades personals inexactes respecte a les finalitats per a les quals es tracten. Exemple: un administrador de finques ha de mantenir actualitzada la seva base de dades de propietaris, corregint qualsevol error o inexactitud que pogués detectar. Si un propietari canvia de telèfon o correu, cal actualitzar-ho degudament i amb celeritat. És recomanable dur a terme revisions regulars de la base de dades per tal d’assegurar-ne la posada al dia. Exemple: realitzar revisions trimestrals per assegurar l’actualització d’una base de dades seria una pràctica conforme al principi d’exactitud i que permetria reforçar la diligència del responsable del tractament. 4.5. Limitació del termini de conservació Les dades han de ser conservades de manera que permetin identificar les persones interessades durant un període no superior al necessari per a les finalitats del tractament de dades personals. 12 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Exemple: un agent immobiliari ha de conservar les dades personals dels clients durant el temps necessari per a la finalitat del tractament, i les ha de suprimir posteriorment. Si un agent immobiliari arrenda un immoble a una persona, haurà de conservar només les dades durant el temps necessari per confeccionar el contracte d'arrendament, i les haurà de suprimir posteriorment. Cal fer avinent que la supressió no comporta, de facto, l’eliminació de les dades sinó l’inici d’una fase de bloqueig. Caldrà bloquejar les dades durant el temps fins que prescriguin les accions legals que puguin derivarse. El bloqueig comporta el traspàs de la dada a un altre entorn reservat, fora de la base de dades activa i amb accés limitat a una o màxim dues persones. La fase de bloqueig permetrà únicament disposar de les dades per atendre possibles peticions d’òrgans jurisdiccionals, Ministeri Fiscal o administracions públiques competents per atendre possibles responsabilitats. Transcorregut el termini màxim de les possibles accions que es puguin interposar, les dades personals s’hauran de destruir o anonimitzar, contemplant tècniques que permetin una dissociació plenament irreversible. 4.6. Integritat i confidencialitat Les dades han de ser tractades de manera que es garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de les mesures tècniques i organitzatives adequades. Exemple: un administrador de finques ha d’adoptar les mesures de seguretat tècniques i organitzatives adequades per protegir les dades personals dels propietaris, com ara el xifratge de les dades, l'accés restringit a les dades o la formació periòdica personal en matèria de protecció de dades. 13 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Exemple: Una formació adequada en matèria de protecció de dades hauria de comptar amb un ítem formatiu general, per a tota la plantilla i una formació específica en funció dels rols o càrrecs, si unes posicions comporten tractaments substancialment diferents de les altres. Exemple: L’ús d’eines de missatgeria instantània o altres plataformes que no garanteixin el control de les dades o confidencialitat d’aquestes, resultaria inadequat i contrari a aquest principi. No podran utilitzar-se de forma professional eines o plataformes que presentin una manca de transparència evident o sobre les quals no es pugui fer una avaluació d’impacte en matèria de protecció de dades, com ara algunes aplicacions de missatgeria instantània d’ús quotidià. 4.7. Responsabilitat proactiva El responsable del tractament ha de complir i poder demostrar que es compleixen els principis de tractament. Exemple: un agent immobiliari ha d’elaborar un registre d’activitats de tractament, que ha de contemplar, entre altres, informació sobre la finalitat del tractament, les dades personals tractades, els destinataris de les dades personals o els terminis de conservació de les dades personals que tracta. Exemple: un agent immobiliari, en cas que recavi el consentiment per algun tractament, haurà de conservar i custodiar degudament l’evidència d’aquest consentiment, sigui en format digital o paper. 14 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Imatge 1. Principis de protecció de dades aplicables al sector immobiliari 5. Legitimació per al tractament de dades La legitimació per al tractament de dades és un requisit legal que s’exigeix al responsable del tractament per tal que pugui tractar determinades dades de caràcter personal. S’entendrà que es disposa de legitimitat per al tractament de dades, i per tant el tractament és lícit i conforme a la norma, quan concorri una base jurídica que habiliti el tractament d’una o diverses categories de dades (art. 6 LQPD). La legitimitat per tractar dades dependrà fonamentalment de la finalitat del tractament com de les categories de dades tractades. És important recordar que en cas de decidir basar el tractament o alguna part concreta o algunes parts concretes del tractament en el consentiment de l’interessat, el responsable haurà d’estar preparat per respectar aquesta opció i aturar aquesta part del tractament en cas que la persona retirés el 15 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) seu consentiment. El responsable no podrà canviar de base legitimadora segons li convingui, sinó que haurà de mantenir l’elecció original de la base jurídica. Amb caràcter enunciatiu, existeixen alguns supòsits on concorreria legitimitat per al tractament de dades personals dins el sector immobiliari, amb les bases jurídiques següents: 5.1. Consentiment És qualsevol manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de les dades personals que l’afectin (art. 4.2 LQPD). Exemple: l'interessat podria facilitar, voluntàriament, el seu consentiment perquè el responsable del tractament, el gestor immobiliari, tracti les seves dades personals per a una finalitat específica, com ara la recepció de publicitat relacionada amb l’oferta d’immobles disponibles per a la compra o venda. 5.2. Necessitat per a l’execució d’un contracte És quan el tractament es du a terme en un context d’un contracte vàlid amb l'interessat i el tractament és necessari per a l’execució del contracte particular esmentat amb l’interessat. Per tal que aquesta base jurídica sigui vàlida, el tractament ha de ser necessari per a executar un contracte en el qual la persona interessada és part, o bé per a aplicar mesures precontractuals a petició seva (art. 6 b) LQPD). Cal tenir en compte que la mera referència o esment al tractament de dades en un contracte no és suficient per legitimar aquest tractament. Les dades han de ser adequades, pertinents i no excessives. 16 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Exemple: un gestor immobiliari publicita un immoble per al seu arrendament. El contracte d’arrendament de l’immoble habilitaria el gestor de l’immoble per al tractament de dades identificatives bàsiques i de contacte de l’arrendador atès que les dades son necessàries per a l’execució del contracte. Existiria base jurídica per tractar les dades personals necessàries i indispensables per a la confecció del contracte d’arrendament. 5.3. Compliment d'una obligació legal És quan el responsable del tractament pot tractar les dades personals de l'interessat per un mandat legal, que ha de ser una norma amb rang de llei i sobre la qual es concreti un tractament (la norma ha d’especificar un tractament concret). Exemple: un agent immobiliari ha de recavar i custodiar durant cert temps determinades dades personals per atendre les obligacions que emanen de la Llei 14/2017 de prevenció i lluita contra el blanqueig de diners o valors i el finançament del terrorisme. 5.4. Interès legítim Concorrerà l’aplicació de l’interès legítim sempre que sobre aquests interessos no prevalguin els interessos o els drets i les llibertats fonamentals de la persona interessada. L’interès legítim ha de representar un interès real, actual i no pot ser mai especulatiu (art. 6 f) LQPD; art. 10 RLQPD). Exemple: la instal·lació, per part del responsable del tractament d’un sistema de videovigilància amb la finalitat de garantir la seguretat d’un establiment o immoble i així evitar robatoris, furts o vandalisme podria constituir una situació on l’interès legítim resultés la base jurídica adequada per habilitar el seu tractament. 17 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) En qualsevol cas, la instal·lació d’un sistema de videovigilància haurà de comptar amb l’emplaçament del cartell informatiu visible i en totes les entrades i sortides de l’immoble. Exemple: pot ser considerat com a interès legítim un tractament de dades per part de l’agent immobiliari que permeti reduir el risc de patir pèrdues en la prestació de serveis de lloguer. Tanmateix, perquè la base del tractament de dades sigui lícita, ha de fer-se una ponderació perquè l'interès legítim o prevalgui sobre els drets i les llibertats fonamentals de les persones interessades, en aquest cas, els possibles llogaters. També s’ha de tenir en compte les mesures o garanties addicionals adoptades per reduir el risc sobre els drets i les llibertats fonamentals de les persones interessades. Aquesta ponderació s’ha de fer de manera exhaustiva incloent, entre d’altres, l’anàlisi dels punts següents: - la relació entre el responsable de tractament de dades i la persona interessada - si el tractament de dades resulta necessari i proporcional per la finalitat per les que estan recollides - si existeix una manera menys lesiva d’arribar a les finalitats perseguides - quin és l’origen de les dades - quin tipus de dades es tracten - si existeix una relació prèvia entre el responsable de tractament de dades i la persona interessada - si l’expectativa que pugui tenir la persona interessada és raonable - si el tractament de dades pot afectar als interessos, als drets i les llibertats de les persones interessades - si el tractament de dades serà dut a terme per a varis actors - si el tractament de dades pot millorar la qualitat del producte o del servei prestat 18 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) 6. Finalitats i usos del tractament de dades És fonamental informar i conèixer bé el propòsit sobre el qual es tractaran les dades, abans d’iniciar qualsevol tractament. Un canvi de gir o una modificació de la finalitat del tractament podria comportar que una base jurídica deixés de ser adequada per legitimar un determinat tractament. És important que el responsable del tractament revisi periòdicament les activitats del tractament que du a terme, actualitzant el corresponent Registre d’Activitats del Tractament (RAT), i determinar si existeixen canvis en la finalitat sobre la qual es tracten les dades. El principi de limitació de la finalitat, contemplat a la norma (art. 5.2 LQPD) disposa que les dades personals només poden ser tractades per les finalitats concretes i específiques per les quals van ser recollides. Poden existir finalitats accessòries o complementàries entre si, però mai les finalitats poden ser incompatibles amb la finalitat sobre la qual l’interessat va facilitar o accedir al tractament de les seves dades. És important assenyalar que les activitats del tractament que es poden dur a terme al sector immobiliari poden variar en funció dels serveis que presti cada empresa o professional. La normativa de protecció de dades no impedeix que administradors de finques, agents immobiliaris o altres professionals recavin o tractin altres dades personals, sempre que les dades siguin adequades, rellevants i limitades a allò que sigui necessari per les finalitats dutes a terme per cada professional. 7. El Registre d’Activitats de Tractament (RAT) Les organitzacions han de mantenir un Registre d’Activitats del Tractament de dades personals (d’ara endavant, RAT) personals tant si 19 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) són responsables del tractament com si exerceixen funcions d’encarregats del tractament. Si bé d’acord amb el que estableix la norma (art. 34.8 LQPD) l’obligació de disposar d’un RAT no aplica aquelles empreses o organitzacions de menys de 50 treballadors, es considera recomanable incorporar un RAT sempre que es tractin dades personals, sigui per disposar d’un control efectiu sobre tractaments de dades personals duts a terme, sigui per poder acreditar la diligència deguda en la protecció de les dades tractades. El RAT acostuma a mantenir-se en un document o una taula (per exemple, Excel) i conté la informació següent: El nom i les dades de contacte de la persona encarregada o encarregats i de cada responsable per compte del qual actua l’encarregat, així com del Delegat de Protecció de Dades (DPD). Les categories de tractaments efectuats a títol propi, en qualitat de responsable del tractament, i aquells realitzats en nom de cada responsable, en qualitat d’encarregat del tractament. Quan sigui possible, una descripció general de les mesures tècniques i organitzatives implementades en relació amb la tipologia de tractaments duts a terme. Si es dona el cas, les transferències internacionals a un país tercer que, tot i que no sigui una casuística habitual, es pot produir, per exemple, si els serveis de Cloud Computing es contracten amb un servei fora d’Andorra i de l’Espai Econòmic Europeu, així l’establiment de garanties adequades (art. 44 LQPD; art. 11 RLQPD). Haurà de constar per escrit, podrà ser en format paper o en format electrònic. 20 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) El responsable del tractament, l’encarregat del tractament i, si escau, el seu representant posarà el RAT a disposició de l’APDA, si ho sol·licita. Un RAT degudament actualitzat permet la traçabilitat dels tractaments i la transparència davant l’òrgan de control, per acreditar el compliment de les obligacions en matèria de protecció de dades personals. 8. L’administrador de finques i altres encarregats de tractament L'encarregat del tractament és la persona física o jurídica, autoritat pública o organisme que presta al responsable un servei que comporta el tractament de dades personals per compte d'aquest. Els tipus d'encarregat del tractament i les formes de regular la relació poden ser tan variades com els tipus de serveis que poden suposar accés a dades personals. Així, podem trobar serveis que tenen com a objecte principal el tractament de dades personals (per exemple, una empresa que ofereix un servei de Cloud Computing o d'allotjament d'informació en els seus servidors) i uns altres que tracten dades personals només com a conseqüència de l'activitat que presten per compte del responsable del tractament (per exemple, un advocat, un gestor o una empresa de destrucció d’informació). És important recordar que correspon al responsable decidir sobre la finalitat i els usos de la informació, mentre que l'encarregat del tractament ha de complir les instruccions que li encomana un determinat servei, en relació amb el tractament de les dades personals a les quals té accés com a conseqüència de la prestació d’un servei. L’administrador de finques, en qualitat d’encarregat del tractament, haurà de tenir en compte el següent: 21 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Donarà suport a la comunitat de propietaris quan algun interessat exerceixi algun dels drets reconeguts a la normativa de protecció de dades. Ajudarà el responsable a garantir el compliment de les seves obligacions en aquelles situacions en què es materialitzi o s’intueixi una possible violació de seguretat, sobretot en el cas que s’hagi de comunicar amb l’APDA. En cas que l’administrador incompleixi aquestes o altres obligacions que corresponen a l’encarregat del tractament, assignant, per exemple, les dades a un altre propòsit, comunicant-les a tercers o utilitzant-les contra les disposicions del contracte, pot ser considerat responsable del tractament, responent personalment sobre les infraccions que s’hagin comès. 9. Els drets dels interessats Les persones, les dades personals de les quals siguin tractades per agents immobiliaris, administradors de finques o altres professionals, tenen una sèrie de drets que poden exercir en qualsevol moment. Els interessats poden exercir els seus drets mitjançant una sol·licitud dirigida al responsable del tractament. La sol·licitud pot realitzar-se per escrit o per mitjans electrònics, com correu electrònic o formulari en línia (si es troba habilitat). Els agents immobiliaris, administradors de finques i altres professionals, han de facilitar als interessats informació sobre els seus drets en matèria de protecció de dades personals i identificar un correu concret per a l’atenció d’aquests drets dels interessats i altres qüestions relacionades amb la protecció de dades. Es recomana que el correu s’identifiqui correctament, com ara protecciodedades@..., privacitat@..., lqpd@..., etc. 22 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Aquesta adreça de correu s’haurà de mostrar, com a mínim, dins la política de privacitat del web. El responsable del tractament ha de respondre a la sol·licitud de l’interessat en el termini d’un mes, amb independència que la sol·licitud s’hagi facilitat a un correu diferent de l’especificat, en matèria de protecció de dades. 9.1. Dret d'accés L’interessat té dret a obtenir del responsable del tractament la confirmació de si estan tractant les seves dades personals i, en cas afirmatiu, a obtenir informació i detall sobre les dades tractades. Exemple: un client d’un agent immobiliari pot sol·licitar que se li faciliti una còpia de totes les dades personals de les quals disposa, relatives a la seva persona. Així mateix, si l’agent immobiliari disposa d’un portal web, que requereix un registre i on es publiciten immobles, haurà de facilitar informació, si se li requereix, sobre l’existència o no de decisions automatitzades, inclosa l’elaboració de perfilats d’usuaris. 9.2. Dret de rectificació Suposa que l’interessat pot assolir la rectificació de les seves dades personals que siguin inexactes, incompletes o imprecises, sense dilació indeguda. Exemple: un propietari d’una finca pot sol·licitar a l’agent immobiliari que rectifiqui la seva adreça postal, si s’ha canviat de domicili. En aquest cas, l’agent immobiliari haurà de procedir a la rectificació amb celeritat i comunicar la rectificació a cadascun dels destinataris als quals s’hagués comunicat aquesta dada personal. 23 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) 9.3. Dret de supressió L’interessat té dret que se suprimeixin les seves dades personals, si ja no són necessàries, excepte en els casos en què existeixi una obligació legal de conservar-les. Exemple: un inquilí d’un immoble pot sol·licitar al responsable del tractament que suprimeixi el seu número de telèfon fix, ja que desitja que el contactin únicament al mòbil. 9.4. Dret de limitació del tractament Consisteix a aconseguir la limitació del tractament de les dades que realitza el responsable, si bé l’exercici presenta dos vessants: (i) quan el tractament sigui il·lícit i s’hagi exercit el dret a la supressió de les dades i se’n sol·liciti la limitació de l’ús, o (ii) quan el responsable ja no necessiti les dades personals per a les finalitats del tractament, però l'interessat les necessiti. Exemple: un propietari d’un immoble pot sol·licitar a la comunitat de propietaris, com a responsable del tractament d’unes càmeres de videovigilància, la limitació del tractament, instant el bloqueig de les dades en qüestió mentre s’estudia una denuncia que ha presentat davant un organisme policial. 9.5. Dret de portabilitat de les dades L’interessat té dret, quan el tractament s’efectuï per mitjans automatitzats, a obtenir les seves dades personals en un format estructurat, d’ús comú i lectura mecànica, i a transmetre-les a un altre responsable del tractament. Exemple: un usuari sol·licita al responsable d’un portal web d’anuncis d’immobles que li faciliti les seves dades personals incorporades durant el registre, així com totes les imatges i descripcions de pisos penjats al web, 24 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) etc., per tal de poder-les transmetre a un altre portal web d’anuncis d’immobles. 9.6. Dret d'oposició L’interessat té dret a oposar-se al tractament de les seves dades personals en determinades circumstàncies, tret que acrediti motius imperiosos que prevalguin sobre els interessos, els drets i les llibertats de l'interessat o per a la formulació, l’exercici o la defensa de reclamacions. Exemple: un usuari pot oposar-se al tractament de les seves dades personals d’un portal web d’anunci d’immobles i sol·licitar el cessament del tractament de dades per l’elaboració de perfils o l’enviament de comunicacions comercials electròniques (opt-out). Amb l’exercici del dret d’oposició el responsable continua tractant les dades de l’interessat, tret dels aspectes concrets on l’interessat s’hi ha oposat. 10. Mesures de seguretat La normativa de protecció de dades imposa als responsables i encarregats del tractament l’aplicació de mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc, en totes les fases del tractament. Així, doncs, caldrà analitzar cada activitat del tractament i proposar unes mesures de seguretat, cas per cas. Les mesures de seguretat que s’hauran d’adoptar dependran del risc inherent a cada tipus de tractament realitzat. A continuació es llisten una sèrie de mesures de seguretat que es podrien adoptar: 25 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Quan el mateix ordinador o dispositiu s’utilitzi per al tractament de dades personals i amb finalitats personals o domèstiques, es recomana disposar de diversos perfils o usuaris diferents per a cadascuna de les finalitats. Es recomana disposar de perfils amb drets d’administració per a la instal·lació i configuració del sistema i usuaris sense privilegis (per exemple, permisos limitats de lectura de documents o amb impossibilitat de descàrrega d’arxius) per a l’accés a determinades dades personals. Els perfils amb drets d’administració o permisos complets haurien de limitarse a usuaris molt concrets (gerència, responsable de seguretat, etc.). Quan a les dades personals hi accedeixin diferents persones, per a cada persona amb accés a les dades personals, es disposarà d’un usuari i una contrasenya específics (identificació inequívoca). No podrà compartirse una contrasenya entre dos o més usuaris. No podran utilitzar-se de forma professional eines o plataformes que presentin una manca de transparència evident o sobre les quals no es pugui fer una avaluació d’impacte en matèria de protecció de dades, com ara algunes aplicacions de missatgeria instantània d’ús quotidià. En cas que es vulgui accedir a la informació continguda en un document extens, o amb gran quantitat de dades personals, caldrà emprar mesures que evitin exposar les dades o informació que no sigui rellevant o necessària. En el cas de necessitar accedir a certa informació de la CASS, caldrà ocultar, emprant tècniques de pseudonimització (per exemple, difuminat o pixelat), tots aquells camps que no siguin indispensables. La formació en matèria de protecció a tots els treballadors resulta indispensable per acreditar el compliment de la normativa. És recomanable fer formacions generals a tota la plantilla i, específiques, a 26 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) aquells treballadors que per raó del seu càrrec tracin les dades de forma particular. El responsable ha d’utilitzar eines, canals o plataformes que no comptin amb vulnerabilitats existents o confirmades per organismes oficials. En cas que el responsable del tractament detecti una vulnerabilitat haurà de cessar el tractament de les dades amb l’eina, canal o plataforma on s’ha detectat la vulnerabilitat. Es recomana revisar periòdicament la informació publicada per l’Agència Nacional de Ciberseguretat d’Andorra (ANC-AD) i l’Estratègia Nacional de Ciberseguretat. 11. Anàlisi de casos concrets A continuació, es detallen alguns supòsits concrets de tractament de dades personals en el sector immobiliari: 11.1. Tractament excessiu de dades Un agent immobiliari penja al seu web informació sobre un immoble per llogar. A continuació, un interessat contacta a l’agent immobiliari per procedir al lloguer de l’immoble. No obstant això, l’agent immobiliari sol·licita a l’interessat determinada informació i dades personals com a requisit sine qua non per confeccionar el contracte de lloguer: dades identificatives i de contacte (nom, cognoms, adreça), DNI, aval bancari i punts de la CASS. Els punts de la CASS exposen gran quantitat d’informació sobre l’interessat i resulta desproporcionat sol·licitar que es faciliti la totalitat de la informació dels punts de la CASS. Resultaria adequat i raonable sol·licitar altra documentació per demostrar que el treballador es troba actualment empleat i amb capacitats econòmiques suficients per fer font a les despeses que suposa el lloguer. 27 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) També resultaria desproporcionat l’extracció de dades personals d’inquilins o potencials inquilins, sense el seu consentiment, exposades en xarxes socials d’ús privat o domèstic, com ara Instagram. Tot i que des de l’APDA s’entén que la finalitat de sol·licitar els punts de la CASS és doble (valorar la capacitat econòmica i l’estabilitat econòmica de l’interessat per saber si podrà fer front al pagament del lloguer a mig termini), aquesta pràctica no és adequada, ja que incompleix els principis relatius a la protecció de dades personals (art. 5 LQPD). Per aquest motiu, s’ha de sol·licitar altra documentació que aporta la informació necessària respectant la normativa. Exemple: sol·licitud de documents amb la finalitat de valorar la capacitat econòmica i l’estabilitat econòmica de l’interessat amb l’objectiu de saber si podrà fer front al pagament del lloguer a mig termini. Un certificat laboral en què només apareguin les dades identificatives, el salari i la data d’inici del contracte. Els butlletins de salari o els justificants de l’ingrés de la nòmina al compte bancari dels últims tres mesos, de forma que la informació innecessària quedi censurada i només apareguin les dades identificatives, el concepte i l’import abonat. S’ha de tenir en compte que aquest tractament de dades es basa en el consentiment de la persona interessada i perquè sigui lícit, el consentiment atorgat ha de ser informat, lliure, específic, inequívoc i recollit mitjançant una declaració o una acció afirmativa clara (art. 7 LQPD) (veure Imatge 2). S’entén que el consentiment s’ha atorgat lliurement quan l’interessat ha disposat d’una elecció real i no condicionada a patir un perjudici si no s’atorgués (art. 8.1.a RLQPD). 28 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Imatge 2. Condicions del consentiment D’altra banda, donar referències dels llogaters suposa una cessió de dades personals que resulta innecessària, és a dir, que no es pot justificar ni sota l'interès legítim ni cap de la resta de supòsits de l'article 6 de la LQPD, per la qual cosa només podria fer-se a través del consentiment exprés de l’interessat. Tant per demanar com per donar referències d'un possible llogater, els responsables de tractament han de comptar amb el consentiment de l’interessat. 11.2. Necessitat de Delegat de Protecció de Dades (DPD) Els agents immobiliaris, administradors de finques i altres professionals del sector immobiliari tracten dades de determinat grau de sensibilitat, entre les quals hi ha no només dades identificatives, sinó també dades economicofinanceres i en ocasions perfilats d’usuaris. El tractament de dades economicofinanceres, en la mesura que tenen un grau de sensibilitat elevat (art. 3 l) RLQPD), requereixen reforçar les cauteles pel que fa a la gestió d’aquestes dades personals. 29 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) En aquest sentit, resulta necessari l’anàlisi exhaustiva per avaluar la necessitat d’incorporar un Delegat de Protecció de Dades (DPD) segons la naturalesa i la mida de l’entitat, però també segons el tipus de dades que es tracten i la quantitat de dades que es tractin. El DPD, en funció de l’entitat, podrà ser a temps parcial o a temps complet, i podrà ser intern o extern a l’entitat. Es recomana que si el DPD és una persona externa a l’entitat, tingui tota la informació necessària sobre el tractament de dades personals que es realitza. Les funcions del DPD són, entre d’altres, establir directrius clares sobre el tractament de dades i ser l’interlocutor amb l’Agència Andorrana de Protecció de Dades. Es recorda que el DPD no respon com a persona física a les sol·licituds de les persones interessades ni les de l’APDA. 11.3. Instal·lació de càmeres de videovigilància Un pis de lloguer compta amb diverses càmeres de videovigilància a les entrades i sortides de l’immoble, per qüestions de seguretat i per evitar actes vandàlics sobre l’estructura de l’immoble. L’emplaçament de càmeres de videovigilància per resultar adequat sempre que es limiti a qüestions de seguretat. El tractament de dades amb finalitats de control (per exemple, controlar les entrades i sortides de l’inquilí) serà desproporcionat. El tractament d’imatges, per resultar adequat i conforme a la norma, haurà de complir amb el següent: Caldrà col·locar un cartell informatiu a totes les entrades i sortides de l’immoble, sense excepció, i en qualsevol cas abans d’accedir a la zona videovigilada. Caldrà avisar el llogater per escrit i de forma expressa de la instal·lació de la càmera abans d’iniciar la relació contractual. 30 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Si la càmera de videovigilància capta imatges de zones comunes de la comunitat de propietaris, caldrà acord de la comunitat abans de procedir a la seva instal·lació. Si la càmera capta la via pública, tan sols podrà fer-ho de forma residual o incidental i sempre que la càmera sigui fixa (i en cap cas giratòria o tipus domo). Resultaria raonable captar com a màxim un 10% de la via pública. 31 En cap cas es podrà captar veu. Les imatges podran conservar-se un màxim d’un mes. M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) 12. Bibliografia Instrucció. Interpretació de l’excepció d’activitats exclusivament personals o domèstiques de l’article 2.4.a) de la LQPD. APDA. (2023). Disponible a https://www.apda.ad/storage/infographies/ lvGmwrEfp7GFBHy9SGrni94POG3ctkd9zevX28e9.pdf Guia de bones pràctiques del deure d’informació. APDA. (2022). Disponible a https://www.apda.ad/storage/guides/980PhG8cI2pcJZDefdQEx3yA09XwsSfj ldvaopQT.pdf Directrius 5/2020 sobre el consentiment en el sentit del Reglament (UE) 2016/679. Comitè Europeu de Protecció de Dades (CEPD). (2020). Disponible a https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200 5_consent_es.pdf Directrius 2/2019 sobre el tractament de dades personals en virtut de l'article 6, apartat 1, lletra b), del RGPD al context de la prestació de serveis en línia als interessats. Comitè Europeu de Protecció de Dades (CEPD). (2019). Disponible a https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_61-b-adopted_after_public_consultation_es.pdf Directrius 3/2019 sobre el tractament de dades personals mitjançant dispositius de vídeo. Comitè Europeu de Protecció de Dades (CEPD). (2019). Disponible a https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20190 3_video_devices_es.pdf Cartell de videovigilància: model, definicions i normativa aplicable. APDA. (2022). Disponible a https://www.apda.ad/assets/pdf/models/Model_cartell_videovigilancia.pdf Model Registre d’Activitats de Tractament (RAT). APDA. (2021). Disponible a https://www.apda.ad/assets/pdf/models/Model_RAT.pdf Drets dels interessats. APDA. (2021). Disponible a https://www.apda.ad/drets 32 M11. Protecció de dades Agència Andorrana de Protecció de Dades (APDA) Guia informativa. Notificacions de violacions de seguretat de dades personals. APDA. (2023). Disponible a https://www.apda.ad/storage/guides/hzDQWlR4FB7FEbWvWz4QGQmus3P PMgeQ90IDVL74.pdf Models. Contracte d’encarregat de tractament. APDA. (2021). Disponible a https://www.apda.ad/assets/pdf/models/Modelcontracte_encarregat_de_tractament.pdf Guia pràctica per saber si la meva entitat ha de designar un Delegat de Protecció de Dades (DPD). APDA. (2023). Disponible a https://www.apda.ad/storage/guides/ViueX4aTOxecQge8bCVe5lHbrTp5k2f wFuRzPv60.pdf Llei 29/2021, del 28 d'octubre, qualificada de protecció de dades personals Decret 391/2022, del 28-9-2022, d’aprovació del Reglament d’aplicació de la Llei 29-2021, del 28 d’octubre, qualificada de protecció de dades personals Decret 368/2022, del 14-9-2022, d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades Instrucció - Interpretació de l’excepció d’activitats exclusivament personals o domèstiques de l’article 2.4.a) de la LQPD Guies emeses per l’APDA 33