T’han trucat alguna vegada oferint-te l’adaptació a la protecció de dades gratis a través de la formació bonificada? O, ¿t’han indicat que estàs obligat a tenir la figura de Delegat de Protecció de Dades? O inclús, ¿has rebut una carta o mail segellat amb el logotip de l’Agència de Protecció de Dades?
Aquestes, junt amb la “implantació a cost 0”, són algunes de les actuacions fraudulentes de vàries empreses que ofereixen el servei de protecció de dades i aquesta setmana volem comentar-vos de nou com són dutes a terme, doncs és un tema que preocupa, i molt, tant a la pròpia AEPD com a les empreses serioses que realitzem les adequacions d’autònoms i pimes a la protecció de dades.
L’Agència Espanyola de Protecció de Dades ha realitzat un vídeo en el que alerta de les situacions fraudulentes que determinades empreses, consultores de protecció de dades, ofereixen a autònoms i pimes per a complir amb la normativa vigent de protecció de dades.
A continuació, indiquem algunes de les formes d’actuació d’implantations de proteccions de dades fraudulentes.
1. Documents genèrics i ja complimentats
Empreses que ofereixen documents genèrics i ja complimentats. És un compliment de forma, però no de fons. Rebutja’ls, ja que una bona implantació necessita d’un estudi detallat i individual.
Un compliment correcte del RGPD i de la LOPDGDD comporta el seguiment d’una sèrie de principis, un disseny adequat i específic per a cada empresa i, una revisió periòdica. L’incompliment de l’esmentat pot suposar que l’AEPD realitzi un procediment sancionador del qual sorgeixin les sancions adients.
2. Obligació de tenir un Delegat de Protección de Dades
En moltes ocasions, aquestes empreses estableixen com obligatori el tenir un Delegat de Protecció de Dades i l’empresa consultora es nomena directament com a tal, elevant la quota a facturar. Aquesta figura no sempre és obligatòria; s’ha de verificar cas per cas.
El RGPD recull en el seu art. 37, la designació i la LOPDGDD, en el seu art. 34, amplia els casos en què és obligatòria aquesta designació.
3. Comunicacions de suplantació d’identitat de l’AEPD
Una altra pràctica fraudulenta són totes aquelles comunicacions que suplanten la identitat de l’AEPD i utilitzen signes institucionals com el logotip de l’AEPD o d’entitats de certificació. Aquestes comunicacions arriben a incloure alguns casos d’amenaça de sanció per incompliment de la normativa. En aquestes situacions, com bé diu l’Agència, quan hi hagi qualsevol tipus de dubte es pot trucar directament a la pròpia AEPD. Cal dir que l’ús il.legítim del nom d’una altra entitat (en aquest cas l’AEPD) està tipificat per l‘art. 8 de la Llei de Competència Deslleial com a pràctica agressiva per actuar amb intenció de suplantar la seva identitat en comunicacions a responsables o encarregats de tractament, generar l’aparença de què s’està actuant en col.laboració amb l’AEPD o amb ella mateixa.
En cas de produir-se aquests tipus de pràctiques agressives, les sancions poden executar-se dirigint-se els afectats i realitzant les accions oportunes davant els jutjats del mercantil.
4. Competència deslleial
En el cas de què les empreses que realitzin pràctiques fraudulentes s’ofertin a un preu inferior al de mercat, podrien estar cometenent competència deslleial. La Comissió Nacional dels Mercats i la Competència podria sancionar les infraccions i investigar aquestes conductes que vulneren la Llei 15/2007, de 3 de juliol de Defensa de la Competència.
5. Implantació de protecció de dades a cost zero
L’adequació a la legislació de protecció de dades a “cost zero”: aquesta pràctica fraudulenta es genera quan s’ofereix l’adaptació a la normativa de protecció de dades gratuïta a través de la formació bonificada amb càrrec als crèdits de les empreses dirigits a formació per als treballadors.
Les infraccions es sancionaran per la Inspecció de Treball i Seguretat Social, amb multes de 626 euros a 187.515 euros, sense perjudici de considerar, en cada cas, una infracció per cada empresa i per cada acció formativa. A més, aquesta infracció és solidària amb la resta dels subjectes que han intervingut en la infracció, com per exemple, l’empresa que ha efectuat la formació.
Així mateix, també suposa una infracció tributària, ja que la formació als treballadors està exempta d’IVA però la consultoria no. Si la infracció sortís a la llum, l’entitat estaria obligada a abonar el 21 % corresponent a l’IVA per l’adaptació, i a més, estaria exposada a la infracció tributària sancionable amb una multa proporcional del 50 % en endavant per a què es cobri la quantia no ingressada.
Tots els detalls de com funciona el procés que usen les empreses per oferir l’adaptació a “cost zero” i les sancions anexes, els podeu trobar en la implantació protecció de dades a “cost zero”.
L’AEPD recomana encaridament que l’empresa que es vagi a contractar o que ja tingui contractada, ofereixi uns serveis que no incorrin en l’esmentat en aquest article.
Des de PYMELEGAL us oferim el nostre canal d’atenció per a què resolgueu les qüestions que pogueu tenir sobre aquests punts i si teniu dubtes o no sabeu com actuar davant una d’aquestes situacions.