Si su compañía realiza tratamientos de datos de carácter personal y todavía no ha realizado la adaptación al nuevo Reglamento General de Protección de Datos que entró en vigor el pasado mayo de 2018, así como a la nueva Ley de Protección de Datos (LOPDPGDD) de 5 diciembre 2018, sepa que está expuesta a un riesgo que puede ser muy gravoso, tanto en un ámbito económico como reputacional. Si ha decidido hacerlo y busca un servicio profesional que le asesore y tutele en la implementación de estas nuevas normativas, permítanos ofrecerle unos consejos sobre malas prácticas que estamos observando que se producen, que le serán útiles en su elección de un servicio de adaptación adecuado.
En primer lugar, quisiéramos darle a conocer que existen servicios en el mercado ofreciendo la adaptación a la normativa de protección de datos poniendo en valor el hecho de que a su finalización hacen entrega de un certificado, que ellos mismo expiden, y que, supuestamente, acredita el cumplimiento de la normativa de protección de datos. Estos certificados expedidos por quienes le han hecho la adaptación no tienen ningún tipo de validez ni utilidad. Si desea una certificación para demostrar el cumplimiento de la normativa de protección de datos en su organización, deberá iniciar un proceso de certificación de acuerdo a lo establecido en el art. 42 del RGPD, el cual solo puede ser realizado por un organismo de certificación independiente acreditado de acuerdo al art. 43 del RGPD. Dicha certificación se expedirá por un período máximo de tres años, tras los cuales podrá ser renovada en tanto se verifique que se siguen cumpliendo los criterios pertinentes.
Por otro lado, existen servicios de adaptación a la normativa de protección de datos que incluyen en su propuesta un seguro que, indican, le cubrirá de posibles sanciones que pueda imponerle la Agencia Española de Protección de Datos (AEPD). Estos seguros se incluyen en el servicio, con carácter general y gratuitamente, o bien a un precio irrisorio. Nuestro consejo es que desconfíe de quien le ofrezca un seguro de este tipo, pues la cobertura que Usted obtendrá es, en la práctica, inexistente. Un verdadero seguro que le cubra de infracciones en materia de protección de datos se contrata y tarifa su precio de acuerdo a una serie de manifestaciones que una compañía de seguros obtendrá de Usted con el fin de establecer el nivel de riesgo de acuerdo de los tratamientos de datos de carácter personal que realiza la compañía y de las medidas organizativas y técnicas de seguridad que les aplica. Las manifestaciones deben corresponderse con la realidad de la llevanza de las obligaciones de la compañía en materia de protección de datos, por cuanto cualquier falsedad o incumplimiento de dichas manifestaciones podría ser utilizada para invalidar la póliza en caso de sufrir una sanción. Si usted está interesado en la contratación de un seguro, lo primero que debe hacer es preguntarse si el nivel de riesgo de sus tratamientos lo hace realmente necesario. Y lo segundo, cuando el nivel de riesgo lo hace necesario, es escoger una compañía de seguros de confianza que le ofrezca una relación coste/cobertura adecuada.
Finalmente, debe saber que continúan ofreciéndose adaptaciones al Reglamento a ‘coste cero’, mediante el uso fraudulento de fondos de la Fundación Estatal para la Formación del Empleo (FUNDAE) antes denominada Fundación Tripartita. Ya sucedía con la anterior LOPD y parece que no se consigue erradicar estas malas prácticas e intrusismo con el nuevo RGPD. FUNDAE y la AGPD están alertas e investigando estas actuaciones de clara competencia desleal e ilegal. La Asociación Profesional Española de Profesionales de Privacidad (APEP) también denuncia estas prácticas en un intento de eliminar del mercado este intrusismo profesional. Los perjuicios de contratar una de estas compañías es claro para quien las contrata, por cuanto las inspecciones realizadas hacen que tenga que acabar asumiendo el coste de la totalidad del importe bonificado, mientras su empresa continua en riesgo por no estar correctamente adaptada al no haberse realizado por un verdadero profesional en estas normativas.
Jordi Díaz
Director del Área de Consultoría JDA/SFAI
