Actuaciones fraudulentas para adaptarte a la normativa de protección de datos


¿Te han llamado alguna vez ofreciéndote la adaptación a la protección de datos gratis a través de la formación bonificada? O, ¿te han indicado que estás obligado a tener la figura de Delegado de Protección de Datos? O incluso, ¿has recibido una carta o mail sellado con el logotipo de la Agencia de Protección de Datos? 

Estas, junto con la “implantación a coste 0”, son algunas de las actuaciones fraudulentas de varias empresas que ofrecen el servicio de protección de datos y esta semana queremos comentaros de nuevo como son llevadas a cabo, pues es un tema que preocupa, y mucho, tanto a la propia AEPD como a las empresas serias que realizamos las adecuaciones de autónomos y pymes a la protección de datos.

La Agencia Española de Protección de Datos ha realizado un video en el que alerta de las situaciones fraudulentas que algunas empresas, consultoras de protección de datos, ofrecen a autónomos y pymes para cumplir con la normativa vigente de protección de datos.


A continuación, indicamos algunas formas de actuación de implantaciones de protección de datos fraudulentas.

1. Documentos genéricos y ya cumplimentados

Empresas que ofrecen documentos genéricos y ya cumplimentados. Es un cumplimiento de forma, pero no de fondo. Recházalos, ya que una buena implantación necesita de un estudio pormenorizado e individual. 
Un cumplimiento correcto del RGPD y de la LOPDGDD conlleva el seguimiento de una serie de principios, un diseño adecuado y específico para cada empresa y, una revisión periódica. El incumplimiento de lo mencionado puede suponer que la AEPD realice un procedimiento sancionador del cual surjan las sanciones adecuadas. 

2. Obligación de tener un Delegado de Protección de Datos

En muchas ocasiones, estas empresas establecen como obligatorio el tener un Delegado de Protección de Datos y la empresa consultora se nombra directamente como tal, elevando la cuota a facturar. Esta figura no siempre es obligatoria; hay que verificar caso por caso. 
El RGPD recoge en su art. 37, la designación y la LOPDGDD, en su art.  34, amplía los casos en que es obligatoria dicha designación. 

3. Comunicaciones de suplantación de identidad de la AEPD

Otra práctica fraudulenta son todas aquellas comunicaciones que suplantan la identidad de la AEPD y usan signos institucionales como el logotipo de la AEPD o de entidades de certificación. Estas comunicaciones llegan a incluir algunos casos de amenaza de sanción por incumplimiento de la normativa. En estas situaciones, como bien dice la Agencia, cuando haya cualquier tipo de duda se puede llamar directamente a la propia AEPD. Cabe decir que el uso ilegítimo del nombre de otra entidad (en este caso la AEPD) está tipificado por el art. 8 de la Ley de Competencia Desleal como práctica agresiva por actuar con intención de suplantar su identidad en comunicaciones a responsables o encargados de tratamiento, generar la apariencia de que se está actuando en colaboración con la AEPD o con ella misma.

En caso de producirse estos tipos de prácticas agresivas, las sanciones pueden ejecutarse dirigiéndose los afectados y realizando las acciones oportunas ante los juzgados de lo mercantil. 

4. Competencia desleal

En el caso de que las empresas que realicen prácticas fraudulentas se oferten a un precio inferior al de mercado, podrían estar cometiendo competencia desleal. La Comisión Nacional de los Mercados y la Competencia podría sancionar las infracciones e investigar estas conductas que vulneran la Ley 15/2007, de 3 de julio de Defensa de la Competencia.

5. Implantación de protección de datos a coste cero

La adecuación a la legislación de protección de datos a “coste cero”: esta práctica fraudulenta se genera cuando se ofrece la adaptación a la normativa de protección de datos gratuita a través de la formación bonificada con cargo a los créditos de las empresas dirigidos a formación para los trabajadores. 

Las infracciones se sancionarán por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa. Además, dicha infracción es solidaria con el resto de los sujetos que han intervenido en la infracción, como por ejemplo, la empresa que ha efectuado la formación.

Asimismo, también supone una infracción tributaria, ya que  la formación a los trabajadores está exenta de IVA pero la consultoría no. Si la infracción saliera a la luz, la entidad estaría obligada a abonar el 21 % correspondiente al IVA por la adaptación, y además, estaría expuesta a la infracción tributaria sancionable con una multa proporcional del 50 % en adelante para que se cobre la cuantía no ingresada

Todos los detalles de cómo funciona el proceso que usan las empresas para ofrecer la adaptación a “coste cero” y las sanciones anexas, los podéis encontrar en la implantación protección de datos a “coste cero”.

La AEPD recomienda encarecidamente que la empresa que se vaya a contratar o que ya tenga contratada, ofrezca unos servicios que no incurran en lo mencionado en este artículo.

Desde PYMELEGAL os ofrecemos nuestro canal de atención para que resolváis las cuestiones que podáis tener sobre estos puntos y si tenéis dudas o no sabéis cómo actuar ante una de estas situaciones.