Dato personal es toda información sobre una persona física identificada o identificable («el interesado»). Todas las compañías tratan en mayor o menor grado datos de carácter personal en el desarrollo de su actividad.
La gestión de estos datos es el centro de interés del Nuevo Reglamento General de Protección de Dato (RGPD), y éste ha reforzado su protección, dando un mayor control a los ciudadanos sobre sus datos de carácter personal en un mundo de teléfonos inteligentes, redes sociales, banca por internet y transferencias de datos globales de información. Paralelamente, la nueva normativa, exige una mayor eficiencia empresarial en la protección de estos datos, donde la proactividad de las empresas juega un factor clave.
El cumplimiento de la normativa ha provocado que exista una amplia oferta de servicios en el mercado en materia de protección de datos para pymes y autónomos. Entre estas ofertas se encuentran propuestas que venden lo que se denomina como adaptación al RGPD a “coste cero”. Es por ello que la Agencia Española de Protección de Datos (AEPD) acaba de publicar una nota de prensa en la que alerta los peligros en los que incurren las pymes y autónomos si deciden contratar dichos servicios.
Así, pone el énfasis en que la adaptación al nuevo RGPD a coste cero es ofrecida de manera fraudulenta y consiste en ofertar dichos servicios a precios bajos o gratuitos, abonando el pago de estos mediante los fondos de la empresa destinados a los programas de formación para trabajadores, aquellos que son bonificados por la Seguridad Social. Este tipo de contratación puede derivar para la compañía en infracciones que se sancionaran por parte de la Inspección de Trabajo y Seguridad Social con multas que pueden llegar a los 187.515 euros.
Además, las acciones formativas están exentas de tributación por IVA, mientras que los servicios de adecuación al RGPD no. Por tanto, en caso de enmascarar dicho servicio con estas prácticas se incurre en una infracción tributaria, la cual es sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.
La AEPD advierte a pymes y autónomos, quienes son los principales destinatarios de estas prácticas, que tengan en cuenta que la adecuación al RGPD requiere un estudio individual de la organización, los tipos de tratamientos que ésta realiza, sus sistemas informáticos, y de gestión documental, aplicando los principios de protección de datos en los procedimientos y una proactividad en la implantación de la protección de datos en la organización. Esto hace que un asesoramiento basado en un patrón genérico no tenga en cuenta la singularidad y características específicas de la actividad de la empresa en sí y en consecuencia, no cumple con los fines pretendidos.
Otras prácticas engañosas es hacer creer a pymes y autónomos que están obligadas a nombrar un delegado de protección de datos cuando no están afectas, ofrecer servicios innecesarios dado los tratamientos que realiza la compañía o ofrecer documentación por la que se pretende crear una apariencia de cumplimiento de la normativa sin haber llevado a cabo las actuaciones necesarias para asegurar dicho cumplimiento, es decir, aparentar un cumplimiento formal pero no de fondo, por lo que quedan todos los riesgos abiertos a la compañía.
El consejo que nos a la AEPD es que tanto pymes como autónomos que quieran contratar un servicio de adecuación al RGPD y a la LOPDPGDD, se aseguren que el servicio que le ofrecen no incurre en estas prácticas fraudulentas/engañosas y constate que los servicios, por parte del consultor, serán personalizados a las necesidades y casuística de los tratamientos de datos que la compañía realiza.
Jordi Díaz
