En nuestro último artículo hablábamos de la importancia que ha tomado la protección de datos, no sólo por el mandato imperativo de las normas aprobadas al respecto a nivel nacional y supranacional en los últimos años, sino por la toma de conciencia por parte de una ciudadanía que conoce sus derechos y no está dispuesta a ponerle las cosas fáciles a una empresa infractora. Dicho cambio contrastaba con el inmovilismo de buena parte de las pymes españolas, cuya respuesta ante el cambio normativo en esta materia ha sido nula.
Pero es que si nos fijamos en esas pymes que no se han quedado de brazos cruzados lo que podemos observar es que, en muchos casos, han actuado en contra de sus propios intereses. Ya sea por apatía o por miedo a invertir el dinero en algo que no genera un beneficio tangible, los servicios de protección de datos a coste cero pueden resultar (y de hecho resultan) muy atractivos para muchas pequeñas empresas.
¿A qué llamamos protección de datos a coste cero?
Con esta expresión nos referimos a la oferta de servicios de adecuación a la normativa de protección de datos a un precio extremadamente bajo o, incluso, de manera gratuita.
A poco que uno tenga un poco de diligencia o experiencia en la vida sabe que algo no pinta bien cuando te ofrecen un servicio profesional de manera gratuita; como dice el refranero, “nadie da duros a cuatro pesetas”. Efectivamente, contratar estos servicios no asegura ningún tipo de protección, por lo que son un fraude que hará perder a nuestro negocio dinero (quizá no en la contratación pero sí en las responsabilidades que se deriven de nuestra falta de adaptación a la legislación) y un tiempo que podríamos emplear en informarnos y preocuparnos verdaderamente por la protección de datos en nuestra empresa.
A continuación, y a partir del documento informativo elaborado por la propia Agencia Española de Protección de Datos, vamos a señalar cómo se enmascaran y ofrecen estos servicios a coste cero en el mercado, para así poder evitar el riesgo que entraña la contratación de los mismos:
1. Cumplimiento, pero sólo en la forma
La implementación de la normativa de protección de datos en nuestra empresa va a suponer un desembolso para los obligados que no es a bajo coste. Muchas veces la oferta a precios tan ridículos se explica con una protección altamente deficiente, ya que el estudio sobre los riesgos y el tratamiento de datos en la empresa en cuestión resulta inexistente.
Así, se pretende cumplir y salir al paso con unos formularios descargables y ya previamente cumplimentados a cambio de unos pocos euros pero que, en ningún caso, van a librarnos de una eventual sanción por parte de la AEPD. En palabras de la propia Agencia:
“Hay que subrayar que el cumplimiento del RGPD y de la LOPDPGDD no consiste en un cumplimiento meramente formal, sino que implica revisar, diseñar y aplicar los principios de protección de datos a las circunstancias específicas de cada empresa. El incumplimiento de la normativa de protección de datos por parte del responsable o del encargado del tratamiento constituye una infracción, por la cual la AEPD podría instruir el oportuno procedimiento sancionador y llegar a imponer una sanción.”
2. Sobredimensión de las necesidades
Como en todas las facetas de la vida, uno puede pecar por defecto pero también por exceso. Otra característica del tipo de empresas que ofertan un servicio de implementación de RGPD poco fiable se encuentra en la sobredimensión de las necesidades reales de nuestra empresa en materia de protección de datos, fundamentándose en el miedo para crear necesidades que realmente no se requieren. Un claro ejemplo es la figura del Delegado de Protección de Datos, vendido interesadamente y de forma errónea, como un imprescindible en la adaptación del RGPD. La oferta de este servicio requiere siempre un mínimo análisis previo de la actividad de la empresa.
3. Suplantación de identidad.
Además de lo anterior, las empresas proveedoras de estos servicios pueden hacerse valer de la imagen corporativa de la AEPD para transmitir el aval de este organismo público y una seguridad sólo fingida. En este caso podríamos estar ante un doble caso de competencia desleal tanto por la publicitación de servicios a un coste notoriamente inferior a los precios de mercado como por la “práctica agresiva” que supone actuar con la intención de suplantar la identidad de la AEPD en la realización de comunicaciones a los responsables y encargados de los tratamientos o generar la apariencia de que se está actuando en colaboración con la AEPD.
4. Utilización de fondos destinados a programas de formación
Otra de las principales formas de ofertar fraudulentamente estos servicios a coste cero es engañando a la Administración para que tal actividad sea financiada con cargo a los fondos públicos destinados a la formación para el empleo. Este punto nos afecta especialmente a PREVENFOR SOLUCIONES, precisamente como empresa que desarrolla ambas actividades (la consultoría en protección de datos y la impartición de formación bonificada a través de la FUNDAE) respetando la más estricta legalidad.
El fraude consiste en ofertar un curso de formación (en protección de datos, por ejemplo) que nunca llega a impartirse y, a cambio de ese dinero que la empresa se bonifica por las cuotas aportadas a la Seguridad Social en concepto de formación profesional para el empleo, realizar la implementación de la normativa de protección de datos. Por supuesto, lo más normal es que los servicios de protección de datos realmente prestados también sean inexistentes y fraudulentos, llegando a concretarse, a lo sumo, en ese mero cumplimiento formal al que nos referimos anteriormente.
Además todo esto puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan. La propia Fundación Estatal para la Formación en el Empleo (FUNDAE) se ha pronunciado varias veces sobre esta mala praxis.
5. Infracción tributaria
En lo que toca al cumplimiento de obligaciones tributarias por parte de las empresas, y aquí vamos a volver a referirnos tanto a quien ofrece el servicio como a quien lo contrata, las actividades formativas dirigidas a los empleados están exentas de tributación por el Impuesto del Valor Añadido (IVA), mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21%.
Con la simulación de estas actividades formativas ocultando un servicio de consultoría en protección de datos (que, aunque pueda ser una chapuza ineficaz, es a efectos tributarios el que realmente se ha realizado) se estará cometiendo una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.
En PREVENFOR SOLUCIONES tenemos muy claro que para esquivar estos riesgos lo fundamental es asumir que un verdadero servicio de protección de datos, a fin de adaptar nuestra organización y funcionamiento a un cuerpo legislativo tan novedoso, necesariamente requiere un estudio individual y sosegado de la situación y actividad de cada empresa, los actividades de tratamiento realizadas, los soportes informáticos y documentales, así como (y nunca como condición suficiente) un programa formativo para los trabajadores de la empresa. Todo ello tiene un precio determinado.
Además, debemos recordar que el peso de la protección de datos se carga sobre los hombros del responsable del tratamiento de los datos personales, es decir, sobre cada empresa que actúa en el mercado. Con lo cual, resulta imprescindible informarse y no desentenderse de estas obligaciones huyendo de la tentación de contratar una de esas protecciones de datos tan baratas como ficticias y estériles.
Fuentes: AEPD