La AEPD y la APEP alertan del riesgo de contratar asesoramiento en protección de datos 'a coste cero'
La Inspección de Trabajo y Seguridad Social sancionará estas prácticas con multas de 626 euros a 187.515 euros
La Agencia Española de Protección de Datos (AEPD) ha alertado a pymes y autónomos de los riesgos de contratar los servicios de adecuación a la normativa de protección de datos a empresas que la ofrecen a coste cero. A esta llamada de atención, una reivindicación que ha abanderado Mar España, directora de la AEPD, desde hace años, se une la Asociación Profesional Española de Privacidad (APEP) desde la que valoran positivamente la campaña de la Agencia contra las prácticas “LOPD a coste cero”, financiadas fraudulentamente.
A partir de ahora, la Inspección de Trabajo y Seguridad Social podrá sancionar a quien contrate estos servicios con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa. Además, se sancionará también la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.
Además, en lo referente al cumplimiento de obligaciones tributarias por parte de las empresas (tanto de quien oferta el servicio como de quien lo contrata), las actividades formativas destinadas a los trabajadores están exentas de tributación por el IVA, mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21%. De enmascararse el servicio realmente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.
La Agencia también advierte de que los servicios de adecuación a la normativa requieren de la realización de un estudio individual pormenorizado de la entidad. “Es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad”, advierten. Por otro lado, hacer crees que las empresas están obligadas a designar un delegado de protección de datos u ofrecer servicios innecesarios para los tratamientos que realiza la empresa son otros de los mensajes engañosos frecuentes.
El documento también hace referencia a prácticas agresivas y que podrían incurrir en competencia desleal, como actuar con intención de suplantar la identidad de la Agencia en las comunicaciones que se realizan o generar la apariencia de que se está actuando en colaboración con la AEPD. A su vez, resulta una práctica agresiva realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios u ofrecer documentación por la que se pretenda crear una apariencia de cumplimiento de la normativa. En estos casos, los afectados podrán ejercer acciones legales ante los juzgados de lo mercantil o denunciarlo ante la Comisión Nacional de los Mercados y de la Competencia si se vulnera la Ley de Defensa de la Competencia.
Diez claves para la contratación de consultoría en protección de datos
La Asociación Profesional Española de Privacidad (APEP) ha elaborado un decálogo de consejo para contratar un proyecto de consultoría. Debe tenerse en cuenta:
1. Adaptarse para cumplir la normativa requiere la implicación del cliente además del trabajo del consultor. Tanto la adecuación al RGPD como mantener este cumplimiento legal en el tiempo requiere que el cliente esté concienciado; incluso es necesario que determinadas personas de la organización intervengan activamente en el proyecto.
2. El cumplimiento no es algo puntual, la normativa exige ahora garantizar la debida diligencia y demostrar la responsabilidad activa por la protección de los datos personales. Por tanto, requiere labores para mantener un adecuado nivel de cumplimiento en el tiempo.
3. La aplicación del RGPD nunca es teórica, no existen recetas de “copiar pegar”, no basta con marcar cruces en un cuestionario, debe adaptarse a la realidad específica de la organización. Con independencia del procedimiento utilizado, su asesor debe conocer en profundidad su empresa u organización visitándola físicamente si procede, y lo habitual es que así sea si se quiere diseñar medidas de seguridad en relación con el entorno físico.
4. Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación de calidad y de concienciación al personal. Las formas de llevar a cabo la formación pueden ser diversas, pero deben permitir contestar afirmativamente a las siguientes cuestiones: ¿Incluye medidas para que los usuarios tomen conciencia de la importancia del derecho fundamental a la protección de datos personales? ¿Precisa las obligaciones impuestas por la normativa y cómo cumplirlas? ¿Transmite las consecuencias de su incumplimiento? Si la respuesta es negativa, no estamos ante un buen proyecto.
5. La adaptación puede suponer cambios. Si tras el análisis de su organización no se han identificado las buenas prácticas y no se han propuesto correcciones a las que pudieran ser inadecuadas es que no estamos ante un buen proyecto.
6. El objetivo a perseguir ha de ser la adecuación plena, por tanto, el proyecto debe ofrecer acciones que persigan un cumplimiento real no sólo formal. No podemos conformarnos con un registro de actividades de tratamiento “para archivar” o un análisis de riesgos estándar que proporciona un conjunto de medidas de seguridad “pendientes de implementación” como meras recomendaciones en el mejor de los casos.
7. Debe exigirse al consultor formación específica especializada. La recogida de información debe realizarla una persona con formación cualificada que le permita adquirir la capacitación profesional que la aplicación de la normativa exige. Se requieren conocimientos tanto en el ámbito jurídico como tecnológico y organizativo. El consultor debe poder acreditar su formación y experiencia y una forma de hacerlo es a través de una certificación profesional, como puede ser la certificación ACP de APEP que reconoce formación universitaria y propia.
8. Si la empresa de consultoría se compromete a ofrecerle un certificado de cumplimiento desconfíe. El RGDP regula la certificación de cumplimiento en el artículo 42 y garantiza unos requisitos formales para los Organismos de Certificación según el artículo 43 que aseguren la independencia de los mismos. En España, todavía no se han desarrollado los marcos de certificación para entidades, pero será una labor desarrollada por la AEPD junto con ENAC. Los certificados emitidos por empresas que a su vez ejercen labores de consultoría no garantizan los requisitos de independencia necesarios.
9. Aunque le aseguren cubrir los daños derivados del asesoramiento o del incumplimiento del RGPD nunca estará del todo a salvo. Aunque se contrate la cobertura de un seguro, siempre se enfrenta al riesgo que para la reputación de su organización comporta la declaración de una infracción y su sanción y publicación en la web de la AEPD. La confianza de sus clientes no la garantiza ninguna aseguradora, exige un esfuerzo cotidiano.
10. Ofrecer un servicio de consultoría tiene costes. En ocasiones, nos ofrecen un proyecto de adaptación al RGPD con anuncios como “esto no nos va a costar nada, o casi nada, ya que aprovecharemos una subvención de otra cosa para pagarlo”. El asesoramiento jurídico y técnico no puede venderse a 2X1. Cuando una empresa nos ofrezca un servicio de esta naturaleza es muy probable que nos esté animando a cometer un fraude, Si nos dicen “esto es gratis”, o “se lo regalo con un proyecto de formación subvencionada” no estamos ante un buen proyecto.