El Fraude de la Protección de Datos coste cero a empresas
La Agencia Española de Protección de Datos (AEPD) acaba de publicar un documento informativo en el que alerta a pymes y autónomos de los riesgos de contratar los servicios de adecuación a la normativa de protección de datos coste cero o a importes muy bajos.
El documento ha sido elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria.
Recoge otras prácticas fraudulentas que suelen estar asociadas a este tipo de servicios. En él, la AEPD también advierte a PYMES y autónomos, destinatarios fundamentales de este tipo de prácticas, que los servicios de adecuación a la normativa requieren de la realización de un estudio individual pormenorizado de la entidad.
Se precisan estudiar los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos.
Por tanto, es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad.
La AEPD recuerda la conveniencia de que las PYMES y autónomos que quieran o tengan que contratar servicios de adecuación a la normativa de protección de datos se aseguren de que los servicios que se les ofrecen no incurren en las prácticas mencionadas con anterioridad.
En qué consiste la Adecuación a la Ley de Protección de datos «Coste cero»
Se conoce como adecuación a la normativa de protección de datos a coste cero a la práctica consistente en ofertar una adecuación completa a esta legislación a un precio muy bajo −o incluso gratis−, normalmente ofertando cursos de formación con cargo a la Fundae, como venimos advirtiendo desde hace tiempo.
Un servicio de adecuación a una normativa específica requiere, para obtener un resultado correcto, un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, además de un programa formativo para los empleados de la entidad.
Las ofertas que pueden entrañar un fraude habitualmente son emitidas por parte de consultorías y empresas, y se dirigen fundamentalmente hacia las PYMES y autónomos, empleando para ello el temor a las sanciones establecidas en el Reglamento General de Protección de Datos.
Servicios no necesarios, prácticas agresivas y competencia desleal
Además, se intenta inculcar la creencia en la necesidad de que las entidades, pymes y autónomos contraten a un tercero el servicio de adecuación, dando a entender que realizarlo con los medios propios implicaría un esfuerzo o un coste inasumible.
Esta publicidad puede resultar engañosa, por ofrecer servicios, a veces innecesarios, enmascarándolos como de formación, cuando no son tales. Formando parte del servicio publicitado, se puede incluir, en particular, la puesta a disposición de un Delegado de Protección de Datos, haciendo creer que su nombramiento es siempre obligatorio, cuando disponer de un DPD no es obligado en todos los casos (art.34 LOPDGDD).
Además, la decisión acerca del mejor modo de realizar la adecuación debería tomarse en base al tipo de entidad, en función del tratamiento de datos que realicen y de los recursos humanos y materiales de los que se disponga.
Asimismo, los ofertantes pueden emplear signos institucionales (por ejemplo, el logotipo de la AEPD o de entidades de certificación acreditadas) para hacer creer que cuentan con el aval de organismos públicos.
De la misma manera, la captación de este tipo de servicio se suele hacer vía telefónica, dejando entrever que llaman de una institución pública y tienen que contratar el servicio que se le oferta, solicitando información personal, incluso datos bancarios.
Utilización de fondos destinados a programas de formación
La contratación del servicio de adecuación a la normativa de protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros.
Además de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.
Ante cualquier duda en materia de Protección de Datos en la empresa consúltanos.