QuotCraftQuotCraft
Back to blogLegal and Compliance

RGPD y protección de datos para autónomos de construcción en España

26 March 20268 min read

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea y su norma de aplicación española, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), no hacen distingos entre las grandes corporaciones y los pequeños autónomos: cualquier persona física o jurídica que trate datos personales de clientes, empleados o terceros está sujeta a sus obligaciones. Un fontanero autónomo que guarda el nombre, la dirección y el teléfono de sus clientes en su teléfono móvil o en un software de facturación es, a efectos del RGPD, un responsable del tratamiento de datos personales y debe cumplir con las obligaciones que esta condición implica.

Qué datos personales trata un contratista de construcción

Los datos personales que trata habitualmente un contratista de construcción incluyen el nombre completo del cliente, su DNI o NIF, su dirección postal, su número de teléfono, su correo electrónico y en ocasiones su número de cuenta bancaria para los pagos por transferencia. Cuando el cliente es un particular, todos estos datos son datos personales protegidos por el RGPD. Cuando el cliente es una empresa, los datos de contacto de la persona de referencia dentro de la empresa —nombre, correo corporativo, teléfono directo— también son datos personales si permiten identificar a esa persona. Adicionalmente, si el contratista tiene empleados o subcontratistas individuales, los datos de estas personas —nóminas, datos de cotización, contratos laborales— también están sujetos a la normativa de protección de datos.

El registro de actividades de tratamiento

El artículo 30 del RGPD obliga a los responsables del tratamiento a mantener un registro de las actividades de tratamiento que llevan a cabo. Este registro debe incluir el nombre del responsable del tratamiento, las finalidades del tratamiento —facturación, gestión de clientes, gestión de personal—, las categorías de datos personales tratados, las categorías de destinatarios a quienes se comunican los datos —asesor fiscal, banco, gestoría—, los plazos de conservación de los datos y las medidas de seguridad implementadas. Aunque el RGPD exime de esta obligación a las organizaciones con menos de 250 empleados en determinadas circunstancias, la AEPD —Agencia Española de Protección de Datos— recomienda que incluso los autónomos con pocos clientes mantengan un registro simplificado de sus actividades de tratamiento, ya que puede ser solicitado en caso de inspección o reclamación.

La legitimación para tratar datos de clientes

El RGPD exige que cualquier tratamiento de datos personales tenga una base jurídica legítima. Para un contratista de construcción, la base jurídica principal para tratar los datos de sus clientes es la ejecución de un contrato: necesita los datos del cliente para emitir la factura correctamente, para contactarle en relación con la obra, para enviarle el presupuesto y para gestionar el cobro. Esta base jurídica no requiere que el cliente firme un consentimiento específico para este tratamiento, aunque sí es obligatorio informarle de forma transparente sobre quién trata sus datos, para qué finalidad y durante cuánto tiempo, habitualmente mediante una cláusula de privacidad en el presupuesto o en la factura.

Plazos de conservación de los datos

Los datos de los clientes no pueden conservarse indefinidamente. El RGPD establece el principio de limitación del plazo de conservación, que obliga al responsable del tratamiento a suprimir o anonimizar los datos personales cuando ya no son necesarios para la finalidad para la que fueron recogidos. Sin embargo, este principio debe equilibrarse con otras obligaciones legales: el artículo 29 de la Ley General Tributaria obliga a conservar las facturas y los documentos relacionados con las obligaciones tributarias durante cuatro años desde el vencimiento del plazo de presentación de la declaración correspondiente; la normativa laboral exige conservar los contratos y los registros de cotización durante cuatro años; y los plazos de garantía de la LOE pueden hacer necesario conservar determinada documentación durante hasta diez años. En la práctica, muchos contratistas optan por conservar todos los datos relacionados con un cliente durante diez años, coincidiendo con el plazo de garantía más largo.

Medidas de seguridad para el tratamiento de datos

El artículo 32 del RGPD exige que el responsable del tratamiento implemente medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales. Para un autónomo de construcción, esto no significa necesariamente invertir en complejos sistemas de ciberseguridad, pero sí implica proteger con contraseña el ordenador o el teléfono en el que almacena los datos de sus clientes, utilizar plataformas con cifrado de datos en tránsito y en reposo para almacenar facturas y presupuestos, no compartir los datos de los clientes con terceros sin base jurídica suficiente, y tener preparado un protocolo básico para responder en caso de brecha de seguridad —por ejemplo, si le roban el teléfono con los datos de los clientes—. El RGPD obliga a notificar las brechas de seguridad a la AEPD en un plazo de 72 horas cuando representan un riesgo para los derechos y libertades de los interesados.

Derechos de los clientes y cómo responderlos

Los clientes tienen derecho a solicitar al contratista el acceso a sus datos personales, la rectificación de datos incorrectos, la supresión de datos cuando ya no sean necesarios, la limitación del tratamiento en determinadas circunstancias y la portabilidad de sus datos a otro responsable del tratamiento. El contratista debe responder a estas solicitudes en un plazo de un mes, prorrogable por otros dos meses en casos complejos. En la práctica, las solicitudes de derechos de protección de datos de clientes de contratistas son muy poco frecuentes, pero el contratista debe saber que existe la obligación de responderlas correctamente y que la AEPD puede sancionar su incumplimiento con multas de hasta 20 millones de euros para infracciones muy graves, aunque las proporciona adaptadas al tamaño y la capacidad económica del infractor.

Protección de datos y QuotCraft

QuotCraft actúa como encargado del tratamiento respecto a los datos personales de los clientes del contratista que se almacenan en la plataforma. El contrato de servicio de QuotCraft incluye las cláusulas contractuales estándar exigidas por el RGPD para regular la relación entre responsable y encargado del tratamiento, lo que permite al contratista cumplir con los requisitos del artículo 28 del RGPD sin necesidad de redactar contratos adicionales. Los datos se almacenan en centros de datos ubicados dentro del Espacio Económico Europeo y se aplican medidas de seguridad técnica como el cifrado en reposo, el control de acceso por roles y las copias de seguridad automáticas. El contratista puede exportar o eliminar todos los datos de un cliente en cualquier momento para dar cumplimiento a las solicitudes de derechos que reciba.

Try QuotCraft free for 30 days

Quotations, digital signatures, invoicing, Peppol, and wholesaler integration in one platform. No credit card required.

Start your free trial