Cuidado con los falsos asesores de empresas en protección de datos
Nos hacemos eco de una noticia publicada hoy en el diario de tirada nacional Expansión:
«Falsos asesores se aprovechan del temor de las empresas a ser sancionadas por no cumplir con las políticas de protección de datos y les ofrecen auditorías que no cumplen con los mínimos legales»
«El miedo a ser sancionadas por no cumplir con la normativa sobre protección de datos lleva a muchas empresas, sobre todo pymes, a confiar en supuestos asesoramientos exprés que les permitan cubrir el expediente y que, con frecuencia, son ofrecidos por oportunistas que aprovechan la ocasión para hacer negocio. Muchas veces, las empresas no son conscientes de que este tipo de servicios no las libran de ser objeto de las cuantiosas multas que impone la Agencia Española de Protección de Datos (AEPD), que pueden llegar a los 600.000 euros, y que el nuevo reglamento de la UE propone fijar en hasta un 4% de la facturación para los infractores.»
Esta es una realidad con la que desde Aixa Corpore convivimos en el día a día, ofertas irresistibles, muy ventajosas económicamente o directamente gratuitas. Por suerte la gran mayoría de los clientes es consciente de que un buen trabajo de asesoramiento conlleva mucho trabajo, esfuerzo y dedicación por parte del consultor y que éste no se puede hacer a cualquier precio, salvo que no esté cualificado o directamente no haga nada de lo que promete.
«La última modalidad de estas asesorías de dudosa legalidad es la auditoría telefónica, que hace creer a los empresarios que con una simple llamada es suficiente para cumplir con la exigente Ley Orgánica de Protección de Datos (LOPD). En una reciente (y escueta) nota informativa, la Agencia señala que «ha tenido conocimiento de que diversas entidades envían comunicaciones a organizaciones y empresas responsables de ficheros obligadas a adoptar medidas de seguridad de nivel medio y/o alto en las que ofrecen sus servicios para realizar auditorías de seguridad por vía telefónica con el fin de examinar el cumplimiento de la legislación de protección de datos». Según recoge la AEPD, dichas comunicaciones llegan a afirmar que «esta práctica permite certificar la idoneidad de las medidas de seguridad de nivel medio y/o alto en los sistemas de información e instalaciones de tratamiento y almacenamiento de datos.
La Agencia censura estas afirmaciones y, con el fin de advertir a los responsables de ficheros, aclara que «una oferta que incluye una auditoría telefónica de medidas de seguridad no permitiría obtener los resultados establecidos en la normativa de protección de datos». Y continúa señalando que «el concepto de auditoría de los ficheros de seguridad de nivel medio y/o alto implica necesariamente la realización de comprobaciones en los sistemas de información auditados, algo que no es posible llevar a cabo por vía telefónica».
Esta realidad la denunciamos desde nuestra página web www.aixacorpore.es días atrás.
«Dudosa legalidad» falsos asesores proteccion de datos
Este tipo de actuaciones de dudosa legalidad no son nuevas. Hace años se denunció también una práctica consistente en la extorsión a pymes advirtiéndolas de que serían denunciadas ante la AEPD en caso de no contratar sus servicios de asesoramiento. El modus operandi de estos falsos asesores proteccion de datos pasaba por buscar empresas que no tuvieran inscritos sus ficheros de acuerdo a la ley para ofrecerles sus servicios con la amenaza de ser denunciados en caso de no contratarlos.
Otra actuación irregular es la denominada «LOPD a coste cero», que consiste en que falsos asesores proteccion de datos prestan asesoramiento para cumplir con la ley, facturándolo como formación con cargo a los fondos que gestiona la Fundación Tripartita, algo que ya está siendo perseguido por esta institución, que ha advertido a las empresas de que «deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo» que, de hecho, ya ha impuesto sanciones en este sentido.
Aceptar este tipo de prácticas no sólo no sirve para evitar multas de la Agencia sino que, además, puede generar problemas añadidos para las empresas que lo acepten, ya que la responsabilidad del fraude no recae únicamente en los falsos asesores proteccion de datos sino que también sobre el cliente que decide cargarlo a los fondos de formación.»
La Fundación Tripartita se ha limitado a emitir uno o dos comunicados advirtiendo de estas malas prácticas, pero la realidad es que las empresas que realizan dichas prácticas las siguen realizando impunemente. El cliente final no es consciente de que está cometiendo una infracción, que está utilizando su crédito disponible para unos cursos que realmente no necesita o carecen de valor alguno y sobretodo, que el servicio que le están prestando en el asesoramiento del cumplimiento del la Ley Orgánica de Protección de Datos es realmente deficiente.
Todo esto lo denunciamos en su día.
«También hay consultoras que emiten su propio sello o certificado de cumplimiento al contratar sus servicios, haciendo creer a las empresas que con ello ya quedan protegidas ante cualquier inspección, cuando, en realidad, no pueden garantizarlo.»
En Protección de Datos no existe ningún sello o certificado oficial que certifique el cumplimento de la Ley. Desde Aixa Corpore emitimos un sello (Código Ético) con el que nuestros clientes pueden hacer llegar a sus clientes su preocupación por la protección de la intimidad de las personas, aportando un distintivo de calidad y normalización tecnológica.
«Según explica Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad, entidad que ha denunciado muchos de estos casos, el problema de fondo es que «se está banalizando el asesoramiento en materia de protección de datos como si una auditoría de seguridad pudiera hacerla cualquiera». Lo que venden este tipo de asesorías, explica, es que «basta con inscribir un conjunto de ficheros, más ficticios que reales, y diseñar las políticas de cumplimiento sin ni siquiera conocer la realidad de la empresa».
Consejos para un buen cumplimiento
Desde la Asociación Profesional Española de Privacidad (APEP) recuerdan a las empresas que cumplir con la ley requiere, además del trabajo del consultor, también la «implicación del cliente», y apuntan que «el cumplimiento no es algo puntual, sino que la normativa exige mantenerlo en el tiempo». Además, «un asesoramiento adecuado debe incorporar un capítulo de formación y concienciación al personal». Asimismo advierten de que «la aplicación de la Ley de Protección de Datos nunca es teórica, por lo que no existen recetas de ‘copiar-pegar’, no basta con marcar cruces en un formulario, sino que debe adaptarse a la realidad específica de la organización». También recalcan que conviene exigir al consultor una formación específica.»
Por lo tanto hay que tener cuidado con los falsos asesores proteccion de datos que ofrecen una consultoría y asesoramiento gratuito.
Noemí Rey. Abogado especialista en Privacidad y Derecho TIC
Fuente: Expansion.com