Alerta de l’agència espanyola de protecció de dades a pimes i autònoms

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat el dia 4 de juliol de 2019 un document informatiu en què alerta a petites i mitjanes empreses i autònoms dels riscos de contractar els serveis d’adequació a la normativa de protecció de dades a empreses que les ofereixen a “cost zero”.
El document, que s’ha anat elaborant amb la col·laboració de la Inspecció de Treball i Seguretat Social i l’Agència Tributària, també recull altres pràctiques fraudulentes que solen estar associades a aquest tipus de serveis.

Què és el denominat “cost zero”?

Es coneix com adequació a la normativa de protecció de dades a “cost zero” a la pràctica consistent a oferir una adequació completa a aquesta legislació a un preu molt baix, o fins i tot gratuït.
Un servei d’adequació a una normativa específica requereix, per obtenir un resultat correcte, un estudi individual detallat de l’entitat, els tipus de tractaments que es realitzen, els sistemes informàtics i els sistemes de gestió documental, a més d’un programa formatiu per als empleats de l’entitat.
Les ofertes que poden comportar un frau habitualment són emeses per part de consultories i empreses, i es dirigeixen fonamentalment cap a les pimes i autònoms, emprant per a això la por a les sancions establertes en el Reglament General de Protecció de Dades.

Com puc distingir aquestes pràctiques i quins són els riscos?

  1. Compliment de la forma, però no del fons

    S’ofereix la “Adequació a la normativa de protecció de dades” però, en alguns casos, la pretesa adequació pot estar realitzant-se lliurant al client uns formularis emplenats amb els quals suposadament pugui “complir l’expedient”.
    Cal subratllar que el compliment del Reglament General de Protecció de Dades (RGPD) i de la Llei Orgànica de Protecció de Dades Personals i Garantia de Drets Digitals (LOPDPGDD) no consisteix en un compliment merament formal, sinó que implica revisar, dissenyar i aplicar els principis de protecció de dades a les circumstàncies específiques de cada empresa. L’incompliment de la normativa de protecció de dades per part del responsable o de l’encarregat del tractament constitueix una infracció, per la qual l’Agència Espanyola de Protecció de Dades podria instruir l’oportú procediment sancionador i arribar a imposar una sanció.

  2. Serveis no necessaris, pràctiques agressives i competència deslleial

    S’intenta inculcar la creença en la necessitat que les entitats, pimes i autònoms contractin a un tercer el servei d’adequació, donant a entendre que realitzar-lo amb els mitjans propis implicaria un esforç o un cost no assumible. Aquesta publicitat pot resultar enganyosa, per oferir serveis, de vegades innecessaris, emmascarant-los com de formació, quan no són tals.
    Formant part del servei publicitat, es pot incloure, en particular, la posada a disposició d’un Delegat de Protecció de Dades, fent creure que el seu nomenament és sempre obligatori, quan disposar d’un delegat de Protecció de Dades no és obligat en tots els casos (article 34 LOPDGDD). A més, la decisió sobre el millor manera de realitzar l’adequació s’hauria de prendre sobre la base del tipus d’entitat, en funció del tractament de dades que realitzin i dels recursos humans i materials de què es disposi.
    Així mateix, els oferents poden emprar signes institucionals (per exemple, el logotip de l’AEPD o d’entitats de certificació acreditades) per fer creure que compten amb l’aval d’organismes públics.
    Als efectes que preveu l’article 8 de la Llei 3/1991, de 10 de gener, de competència deslleial, es considera “pràctica agressiva” actuar amb intenció de suplantar la identitat de l’AEPD en la realització de comunicacions als responsables i encarregats dels tractaments, generar l’aparença que s’està actuant en col·laboració amb l’AEPD, realitzar pràctiques comercials en què es coarti el poder de decisió dels destinataris mitjançant la referència a la possible imposició de sancions per incompliment de la normativa de protecció de dades, o oferir documentació per la qual es pretengui crear una aparença de compliment de la normativa de forma complementària a la realització d’accions formatives sense haver dut a terme les actuacions necessàries per verificar que aquest compliment es produeix efectivament.
    En cas de produir aquest tipus de pràctiques agressives, els afectats poden exercir les accions oportunes davant els jutjats mercantils.
    D’altra banda, en cas que els oferents estiguin publicitant serveis a un cost notòriament inferior als preus de mercat, es podria estar cometent competència deslleial.
    La competència per investigar les conductes que poguessin vulnerar la Llei 15/2007, de 3 de juliol, de Defensa de la Competència, i, si escau, sancionar les possibles infraccions, correspondria a la Comissió Nacional dels Mercats i de la Competència.

  3. Utilització de fons destinats a programes de formació.

    La contractació del servei d’adequació a la normativa de protecció de dades a cost zero, finançada amb càrrec a fons públics a través de bonificacions en les quotes a la Seguretat Social per a la formació professional per a l’ocupació, pot derivar en infraccions que se sancionen, per la Inspecció de Treball i Seguretat Social, amb multes de 626,00 € a 187.515,00 €, sense perjudici de considerar, en cada cas, una infracció per cada empresa i per cada acció formativa, la solidaritat dels diferents subjectes que intervenen en l’organització i execució de la formació en la devolució de les quantitats indegudament obtingudes i les sancions accessòries que en cada cas siguin procedents.

  4. Infracció tributària

    Pel que fa al compliment d’obligacions tributàries per part de les empreses, tant de qui oferta el servei com de qui el contracta, les activitats formatives adreçades als empleats estan exemptes de tributació per l’Impost del Valor Afegit (IVA), mentre que el tipus que correspon a un servei d’adequació a una determinada legislació seria del 21%. De emmascarar el servei realment dut a terme es pot estar cometent, per tant, una infracció tributària, sancionable amb una multa pecuniària proporcional, del 50% des d’ara, sobre la quantia no ingressada.

Quines recomanacions ofereix l’agència a pimes i autònoms?

Abans de contractar, informeu-vos per conèixer les seves obligacions i quin és la manera més segura per a la seva empresa de complir amb elles.
És convenient que les pimes i autònoms que vulguin o hagin de contractar serveis d’adequació a la normativa de protecció de dades s’assegurin que els serveis que els ofereixen les consultores o empreses no incorren en les pràctiques esmentades anteriorment.
Si tenen la intenció d’adaptar-pels seus propis mitjans, l’AEPD posa a la seva disposició diversos canals d’informació als responsables (Canal INFORMA) i als ciutadans (Atenció al ciutadà) i una eina gratuïta d’ajuda (FACILITA_RGPD) adreçada a empreses que realitzin un tractament de dades personals d’escàs risc.
Facilita_RGPD està orientada a empreses que tracten dades personals d’escàs risc, per exemple, dades personals de clients, proveïdors o recursos humans. Amb tan sols tres pantalles de preguntes molt concretes, FACILITA permet a qui la utilitza valorar la seva situació respecte del tractament de dades personals que duu a terme: si s’adapta als requisits exigits per utilitzar l’eina o si ha de realitzar una anàlisi de riscos. FACILITA genera diversos documents adaptats a l’empresa concreta, clàusules informatives que ha d’incloure en els seus formularis de recollida de dades personals, clàusules contractuals per annexar als contractes d’encarregat de tractament, el registre d’activitats de tractament, i un annex amb mesures de seguretat orientatives considerades mínimes.