Tal y como os explicábamos en la noticia de marzo ‘Implantación de la protección de datos a coste cero’, hay múltiples peligros a la hora de contratar una implantación de protección de datos con coste en los créditos de formación de cada empresa.
Recordemos que una implantación basada en el “coste cero” consiste en la oferta de servicios a un precio muy bajo o de forma gratuita, siendo aquella abonada por los fondos destinados a la formación para trabajadores. Dicha implantación lleva aparejada una serie de riesgos, entre los que destacan:
– Un posible cumplimiento de forma, pero no de fondo,
– la utilización, y consecuente pérdida, de los fondos destinados a programas de formación que sí podrían ser útiles para los trabajadores,
– contratación de servicios no necesarios (como la puesta a disposición de la figura del Delegado de Protección de Datos haciendo creer que su nombramiento es siempre obligatorio),
– prácticas agresivas como que los prestadores del servicio pueden emplear signos como el logotipo de la AEPD o de entidades de certificación acreditadas para hacer creer que cuentan con el aval o la colaboración de organismos públicos, entre otras,
– comisión de competencia desleal si los oferentes de los servicios publicitan dichos servicios a un coste manifiestamente inferior a los precios de mercado,
– infracción tributaria, tanto de quién oferta el servicio como de quien lo contrata.
Este julio del año en curso, la AEPD ha emitido una nota de prensa en la que determina finalmente las cantidades derivadas de dichas infracciones, sancionadas por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.
Además, en lo referente al incumplimiento de obligaciones tributarias por parte de quien oferta el servicio como de quien lo contrata, las actividades formativas destinadas a los trabajadores están exentas de tributación por el IVA, mientras que el tipo que corresponde a un servicio de implantación a la normativa de protección de datos sería del 21%. De enmascararse el servicio efectivamente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.
Tal y como establece la AEPD y os reseñábamos también nosotros, es insuficiente un asesoramiento basado solamente en dar unos documentos genéricos que no tengan en cuenta las características específicas de la actividad, puesto que una buena implantación y aplicación de la normativa demandan un estudio previo y pormenorizado de la entidad, de los tratamientos que se realizan, de los sistemas informáticos y de gestión documental, así como definición correcta del tratamiento basado en los principios de protección de datos.