Por fin la Agencia de Protección de Datos se pronuncia oficialmente sobre las prácticas fraudulentas de “asesores” en protección de datos, que pueden acarrear sanciones de hasta 187.515 euros de la Inspección de Trabajo y Seguridad social, más la correspondiente multa respecto a IVA por parte de la Agencia Tributaria.
Durante muchos años los profesionales de privacidad venimos denunciando y soportando las malas prácticas de empresas que “venden” cumplir con las exigencias de la normativa de protección de datos mediante prácticas fraudulentas, argumentos embaucadores y servicios engañosos, que tiran por tierra el trabajo y esfuerzo de aquéllos que pretendemos prestar un servicio de calidad y ayudar a las empresas y profesionales a cumplir con sus obligaciones de forma segura y adecuada.
Tanto la Agencia de Protección de Datos (AEPD) como la Asociación Profesional Española de Privacidad (APEP) han identificado durante años estas prácticas y finalmente parece que podemos empezar a ver la luz para erradicar estos engaños clamorosos a las pymes y autónomos responsables del tratamiento así como la competencia desleal tan evidente para los consultores de privacidad. La AEPD publicó el pasado 03 de julio un documento informativo al respecto donde alerta a pymes y autónomos de los riesgos de contratar estos servicios.
A modo de resumen a continuación detallo los aspectos más importantes para identificar servicios fraudulentos:
- Adecuación a “coste cero”: una adecuación completa no puede ofertarse gratis o a un precio muy bajo.
- Adecuación a coste cero financiado a través de bonificaciones en las cuotas a la Seguridad Social de los trabajadores, cuando estas cuotas deben utilizarse para formar al empleado, no para financiar obligaciones normativas para el empresario.
- Adecuación mediante una documentación estándar con “apariencia de cumplimiento” como complemento a una acción formativa en la que no se tienen en cuenta las características particulares del responsable.
- Adecuación mediante la entrega de unos formularios ya cumplimentados de forma genérica o unas plantillas estándar para “cumplir el expediente”
- Servicios, a veces innecesarios, por ejemplo, el de Delegado de Protección de Datos, haciendo creer que su nombramiento es obligatorio, cuando no siempre es así.
- Emplear signos institucionales como logo de la AEPD o de entidades de certificación acreditadas para hacer creer que cuentan con el aval de organismos públicos, (o incluso utilizar nombres de empresas similares a instituciones públicas para crear la confusión de que están contactando desde administración con el fin de evitar sanción).
- Generar la apariencia de que se está actuando en colaboración con la AEPD.
- Utilizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios, asustando con la posibilidad de una sanción inmediata.