La entrada en vigor del Reglamento General de Protección de Datos (RGPD) ha traído como consecuencia una mayor seguridad y control de los usuarios respecto a sus datos.
Junto a ello ha dado la oportunidad a muchas empresas de dirigir su mirada a un nuevo sector como punto de negocio.
Esto en si no sería ningún problema, si al emprender esta nueva faceta, se hiciese con conocimiento y personal adecuado, pero, en algunos casos, muy puntuales, esto no ha sido así:
Desde la entrada en vigor del RGPD han surgido muchas empresas que han querido aprovechar la oportunidad, no manteniendo siempre las formas ni la legalidad. De hecho, no son pocas las entidades que se han sentido engañadas o que han sufrido algún tipo de fraude por parte de estas entidades supuestamente especialistas en protección de datos.
Tanto es así que, la Agencia Española de Protección de Datos ha recibido no pocas denuncias de empresas del sector o de particulares, poniendo en conocimiento de la misma las prácticas agresivas en protección de datos de estas firmas.
En vista de estos hechos, el legislador se ha hecho eco y ha querido regularizar esta situación con la promulgación de la disposición adicional decimosexta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y de Garantía de los Derechos Digitales (LOPDGDD).
¿Qué puede considerarse prácticas agresivas en protección de datos?
- Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.
- Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.
- Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.
- Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.
- Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos.
Pues bien, como vemos, en el tercer punto es donde se regulan las prácticas que se venían llevando a cabo.
Los hechos consistían, básicamente, en ponerse en contacto con distintas entidades y decir que «no cumplen» y que debes contratarlos inmediatamente, so pena de incurrir en un ilícito que conllevaba la imposición de elevadas sanciones por parte de distintos organismos públicos (Guardia Civil, Seguridad Social, Policía local, etc.).
Además, ofrecen la ventaja de poder hacer la implantación de protección de datos con cargo a las cuotas de la Seguridad Social (créditos de la Fundae), de manera que la implantación sale gratis, prácticamente gratis o con un considerable descuento.
Estas prácticas son totalmente ilegales y que suponen actos de competencia desleal, han sido objeto de investigación por parte de la AEPD, más con la entrada en vigor de la mencionada ley. Para dar una mayor difusión a este fenómeno, la AEPD ha publicado un artículo a primeros de julio donde se alerta a los autónomos y las pymes sobre los riesgos de contratar a «coste 0».
Se unen a las publicaciones realizadas por la propia Seguridad Salud, como se viene advirtiendo en publicaciones anteriores.
¿Qué implica realizar este tipo de prácticas agresivas en protección de datos?
Pues según el propio texto de la AEPD, «La contratación del servicio de adecuación a la normativa de protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.»
Conclusión sobre las prácticas agresivas en protección de datos
Como vemos, lo más importante es informarse previamente respecto de quién nos ofrezca los servicios de protección de datos.
Es fundamental que ésta ofrezca buenas referencias y tenga consolidada experiencia en el sector.
Si lo que nos comentan de entrada, son las sanciones que su no contratación podrían acarrear a la empresa y le proponen implantar esta materia a coste Cero, a precio reducido o con una rebaja importante si realiza uno de los cursos , debería sospechar e investigar un poco más sobre la misma pues puede estar incurriendo en una práctica ilegal, si contrata sus servicios.
