Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Cuidado con los servicios gratuitos de adecuación a la LOPDGDD

Fecha de publicación 20/08/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

A finales del pasado año entró en vigor la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que adaptaba el derecho español al  Reglamento General de Protección de Datos (RGPD). Durante todo este tiempo desde la Agencia Española de Protección de Datos (AEPD) se ha detectado que muchas pymes y autónomos recurren a servicios de «coste cero», es decir  a un reducido coste o incluso gratis, para su adecuación.

Cumplir con una normativa tan extensa e importante como es la LOPDGDD no es una tarea trivial, se requiere un estudio pormenorizado de la entidad, los tipos de tratamientos que realiza sobre los datos personales, sistemas informáticos, etc. Cuando buscamos una empresa o consultora para ayudarnos en la adecuación, como en cualquier contratación, tenemos que revisar sus referencias y elegir, de entre las fiables, la oferta más acorde a nuestras necesidades.

Además este tipo de ofertas a «coste cero» dirigidas a pymes, micropymes y autónomos pueden suponer un fraude ya que los servicios que intentan vender superan a los necesarios por estos negocios que realizan generalmente tratamientos de datos sencillos. Para convencerlos habitualmente utilizan el temor a las posibles sanciones económicas establecidas en el RGPD.

¿Cómo identificar los servicios a «coste cero»?

Los principales rasgos distintivos de este tipo de prácticas fraudulentas son:

Cumplimento formal, pero no real

En ocasiones se oferta una adecuación a la normativa únicamente entregando al cliente una serie de formularios cumplimentados para que pueda «cumplir el expediente». El cumplimiento del RGPD y la LOPDGDD no consiste en realizar un cumplimiento formal rellenando unos formularios. Para cumplir con estas normativas se deben revisar, diseñar y aplicar los principios de protección de datos en función de las circunstancias de cada empresa.

Con esta práctica de cumplimiento formal, sí que estamos situándonos en riesgo de incumplimiento.

No cumplir con la normativa por tener únicamente un cumplimiento formal constituye una infracción, por la cual la AEPD podría abrir un procedimiento sancionador y llegar a imponer la sanción.

Servicios innecesarios, prácticas agresivas y competencia desleal

Las empresas y consultoras que ofrecen estos servicios intentan hacer creer a sus posibles clientes que la adecuación a la norma es un proceso complejo, que con los recursos de los que disponen sería inasumible el esfuerzo y el elevado coste que supone. Este tipo de prácticas pueden conducir al engaño, además en muchos casos ofrecen servicios innecesarios haciéndolos pasar por formación, cuando en realidad no lo son.

  • Una figura muy utilizada en este tipo de prácticas poco éticas es la del Delegado de Protección de Datos o DPD, haciendo creer que siempre debe estar presente cuando no siempre es así, tal y como indica el artículo 34 de la LOPDGDD.
  • Otra técnica usada por estas entidades es utilizar logotipos institucionales como el de la AEPD sin autorización, dando a entender que cuentan con el aval o la colaboración de este tipo de organismos.

Tal y como indica el artículo 8 de la Ley 3/1991, de 10 de enero, realizar este tipo de prácticas agresivas, así como utilizar fondos destinados a programas de formación, cuando no es formación, como en este caso, puede ser motivo de sanciones.

Por otra parte, este tipo de empresas también pueden estar haciendo competencia desleal si estuviesen publicitando sus servicios a un coste notoriamente inferior a los precios de mercado, tal y como indica la Ley 15/2007, de 3 de julio, de Defensa de la Competencia.

Recomendaciones para adecuarse a la LOPDGDD

Tal y como indica la AEPD en su estudio sobre los denominados servicios a «coste cero»:

Antes de contratar, es recomendable informarse para conocer las obligaciones a las que se está sujeto, que la empresa o consultora no esté llevando a cabo las prácticas anteriormente indicadas y cuál es la mejor alternativa para adecuarse a la norma.

Desde INCIBE ponemos a tu disposición la sección RGPD para pymes, donde encontrarás información relevante sobre cómo llevar a cabo un correcto tratamiento de los datos según indica la norma. Utiliza esta guía y esta lista de chequeo para saber más sobre la privacidad y cómo cumplir a la vez que incorporas mejoras en la ciberseguridad de tu negocio.

Además, los usuarios que quieran llevar a cabo la adaptación con sus propios medios pueden recurrir también a las herramientas que ofrece la AEPD:

  • Canal INFORMA, que presta soporte sobre aquellas dudas y cuestiones que se deriven de la aplicación del RGPD;
  • FACILITA RGPD, dirigida a aquellas empresas que realicen un tratamiento de datos de bajo riesgo. Si se adapta a los requisitos exigidos, la herramienta generará varios documentos, formularios y cláusulas contractuales para llevar a cabo la adecuación.

Antes de contratar servicios a «coste cero» o que lleven a cabo cualquiera de las prácticas antes indicadas, es recomendable informarse en los canales que ofrece la AEPD. Así podrás tomar la decisión más acertada sin incurrir en acciones que puedan tener consecuencias legales.