Adecuación a la normativa de protección de datos a coste cero

protección de datos

Por
2/09/2019

La Agencia Española de Protección de Datos (AEPD) alerta a autónomos y pymes de los riesgos de contratar servicios de adecuación a la normativa de protección de datos a “coste cero” a través de un documento informativo.

Se denomina adecuación a la normativa de protección de datos a “coste cero” a la práctica que consiste en ofertar una adecuación completa a la normativa de protección de datos a un precio muy bajo o de forma gratuita. Por ejemplo, abonado los mismos mediante fondos destinados a la formación de trabajadores.

Un servicio de adecuación a la normativa requiere un estudio individual pormenorizado de la entidad, los sistemas informáticos que utiliza, los tipos de tratamiento que se realizan  y los sistemas de gestión documental, aplicando los principios de protección de datos para obtener un resultado correcto.

¿Cómo puedo distinguir estas prácticas?

Los rasgos distintivos de estas prácticas fraudulentas son:

1. Cumplimiento de forma pero no de fondo

Ofertar la “adecuación a la normativa de protección de datos” por ejemplo entregando al cliente unos formularios ya cumplimentados con los que pueda cumplir con el RGPD y la LOPD 3/2018.

El cumplimiento con la legislación de protección de datos no consiste en un cumplimiento meramente formal, conlleva revisar, diseñar y aplicar los principios de protección de datos a las circunstancias concretas de cada empresa. Por tanto, un asesoramiento basado documentos genéricos que no tengan en cuenta las características específicas de la actividad es insuficiente.

El incumplimiento de la normativa de protección de datos constituye una infracción por la cual la AEPD puede iniciar un procedimiento sancionador y llegar a imponer una sanción.

2. Competencia desleal, prácticas agresivas y servicios no necesarios

Convencer a entidades, autónomos y pymes de la necesidad de contratar a un tercero el servicio de adecuación, dando entender que realizarlo con medios propios implicaría un coste o esfuerzo inasumible. Esta publicidad puede ser engañosa por ofrecer servicios que pueden ser innecesarios.

En particular, se puede incluir, como parte del servicio publicitario la puesta a disposición de un Delegado de protección de datos (DPO) haciendo creer que su nombramiento es obligatorio cuando no lo es.

Los ofertantes pueden utilizar signos institucionales para hacer creer que cuentan con el aval de organismos públicos como el logotipo de la AEPD. Se considera  “práctica agresiva” a efectos de la Ley de competencia desleal actuar con intención de suplantar la identidad de la AEPD en la realización  de comunicaciones a los responsables y encargados del tratamiento, generar la apariencia de que se está actuando en colaboración con ésta, así como realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios.

Los afectados podrán ejercitar, ante este tipo de prácticas, las acciones oportunas ante los juzgados de lo mercantil.

Se podría estar “cometiendo competencia” desleal en el supuesto en el que los oferentes publiciten servicios a un coste notoriamente inferior a los precios de mercado.

La Comisión Nacional del Mercado de Valores y de la competencia será competente para investigar las conductas que pudiesen vulnerar la Ley de defensa de la

Competencia y sancionar las posibles infracciones, en su caso.

3. Utilización de fondos destinados a programas de formación

Contratar el servicio de adecuación a la normativa de protección de datos a coste cero, financiada a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo con cargo a fondos públicos, puede derivar en infracciones que se sancionarán con multas de 626€ a1987.515€ por la Inspección de Trabajo y Seguridad Social sin perjuicio de considerar una infracción por cada empresa y por cada acción formativa y la solidaridad de los distintos sujetos intervinientes en la ejecución y organización de la formación en la devolución de las cantidades obtenidas indebidamente y las sanciones accesorias que procedan en cada caso.

4. Infracción tributaria

Cumplir con las obligaciones tributarias tanto quien contrata el servicio como quien lo oferta; las actividades formativas y las actividades formativas dirigidas a los empleados están exentas de IVA, mientras que el tipo correspondiente a un servicio de adecuación a una determinada legislación sería el 21%. De estar enmascarando el servicio llevado a cabo realmente se puede estar cometiendo una infracción tributaria sancionable con multa pecuniaria proporcional del 50% en adelante sobre la cuantía no ingresada.

Recomendaciones a PYMES y autónomos

Es aconsejable que los autónomos y pymes que tengan o quieran contratar servicios de adecuación a la normativa  de protección de datos se informen previamente de sus obligaciones y cuál es el modo más seguro de cumplir con ellas. Además deberán asegurarse de que los servicios que ofrecen consultoras y empresas que contraten no incurren en las prácticas mencionadas.

La AEPD ha puesto a disposición de los responsables del tratamiento que tenga la intención de adaptarse por sus propios medios a la normativa de protección de datos varios canales de información  y una herramienta (FACILITA_RGD) gratuita de ayuda dirigida a empresas que realicen un tratamiento de datos personales de escaso riesgo.

Facilita_RGPD, está dirigida a empresas que realizan tratamientos de datos personales que implican un escaso nivel de riesgo como por ejemplo tratamientos de datos de clientes o proveedores de contacto y facturación, o el tratamiento de datos de sus trabajadores. FACILITA permite valorar la situación respecto del tratamiento de datos personales de quien la utiliza, si debe realizar una análisis de riesgo o si se adapta a los requisitos exigidos para utilizar la herramienta. FACILITA genera diversos documentos adaptados a la empresa, cláusulas contractuales para anexar a los contratos de encargo del tratamiento, cláusulas informativas que debe incluir en los formularios de recogida de datos, el registro de actividades de tratamiento y un anexo con medidas de seguridad orientativas.

Foro
FORO JURÍDICO
Recuerda utilizar nuestro Foro para consultas o preguntas relacionadas con éste artículo.
Foro

Debes iniciar sesión para poder dejar un comentario.

ARTÍCULOS RELACIONADOS