El fraude de la protección de datos a ‘coste cero’

Ya hemos posteado en anteriores ocasiones sobre los riesgos que implican las implantaciones a coste cero que llevan a cabo algunas empresas en el ámbito de la protección de datos, pero esta vez queremos hacernos eco de la campaña que ha lanzado la APEP contra esta práctica.

Campaña RGPDgratis

Una de las prioridades de la Asociación Profesional Española de Privacidad ha sido la lucha contra las malas prácticas en el mercado. A lo largo de los años ha realizado multitud de acciones de denuncia ante los organismos oficiales y ahora ha lanzado una campaña propia de concienciación de las pymes contra el coste cero y otras prácticas a través del portal www.rgpdgratis.com y la cuenta (fake) de Twitter @RGPDgratis.

Quieren posicionar esta web como un elemento de concienciación y formación para que cuando los profesionales del sector se topen con potenciales clientes que estén valorando este tipo de servicios puedan ver las repercusiones que puede tener la contratación de este tipo de proveedores.

Consecuencias de este tipo de ofertas de protección de datos GRATIS

  • Inspección de Hacienda: Al enmascararse el servicio de protección de datos bajo formación no sujeta a IVA, se está cometiendo una infracción tributaria sancionable.
  • 180.000 € de multa: Inspección de trabajo puede imponerte una sanción por la contratación del servicio de adecuación a la normativa de protección de datos financiada con cargo a fondos públicos a través de bonificaciones en las cuotas de la Seguridad Social.
  • Hay algunas empresas que se presentan como colaboradoras de la Agencia Española de Protección de Datos o se hacen pasar por inspectores amenazando con sanciones sino contratan sus servicios. Es falso. Desconfía.
  • ¡Lo barato sale caro! Este tipo de ofertas suelen incluir documentos de muy baja calidad que tienes que completar tu mismo. Aparte del lio con Hacienda o la Seguridad Social puedes tener problemas con la AEPD por no cumplir de forma correcta.

Decálogo contra el fraude en servicios de protección de datos

  • La adecuación es una labor conjunta entre consultor/profesional y la organización.
  • La responsabilidad activa es un proceso de mejora a mantener a diario. Es necesario demostrar debida diligencia.
  • El análisis jurídico debe entender los tratamientos de datos de la organización, por lo que debe ser un estudio a medida.
  • El proyecto debe incluir concienciación para asegurar la transferencia de conocimiento.
  • La adecuación supondrá cambios en los procesos y nuevas tareas, no solo documentación.
  • La adecuación llega cuando se implantan los procesos y protocolos. Tener los papeles no implica cumplir con la normativa.
  • El profesional debe acreditar tener formación y capacitación profesional, y experiencia en privacidad para aportar valor y resolver problemas.
  • No existen certificados de cumplimiento a organizaciones. No tienen ninguna validez.
  • Antes de contratar basándote solo en el precio, piensa en la seguridad jurídica que te ofrecen y en el daño reputacional por infracción de la normativa. Rodéate de buenos profesionales.
  • Lo barato sale muy caro. Puedes enfrentarte a multas por parte de la AEAT, de la SS y de la AEPD.

Comunicados por parte de las autoridades competentes

  • Nota de prensa de la AEPD advirtiendo de estos fraudes (leer)
  • Comunicado de Fundae contra el fraude (leer)

Desconfía y denuncia

No contrates servicios de adecuación gratuitos, a ‘coste cero’ o ‘bonificados’ por subvenciones por fondos a la formación. Si te llegan ofertas de este tipo comunícanoslo.

Estarás ayudando a mucha gente a no caer en fraude ni ser cómplice del mismo.

El equipo de PymeLegal.

Checklist para cumplimiento de protección de datos en tu empresa

Hoy en día, tanto el RGPD como la LOPDGDD deberían ser ya ampliamente conocidos y aplicados por las entidades que tratan datos personales, sin embargo, la realidad es otra bastante diferente. Según bastantes informes de varios organismos, entre ellos la propia AEPD, son normativas bastante desconocidas, a pesar de sus esfuerzos para darles notoriedad.

Queremos aportar nuestro granito de arena y ayudaros a todos vosotros que realizáis un tratamiento de datos para que podáis comprobar si, en vuestro negocio, asociación, fundación o comunidad de propietarios, estáis al día con las directrices, obligaciones y deberes que imponen estas normativas, y de esta forma no solo evitar posibles sanciones (cada vez más numerosas), sino también generar más confianza en vuestros clientes.

Así pues, os hemos preparado este breve checklist donde os resumimos las obligaciones y actuaciones básicas que tenéis como responsables del tratamiento. Empecemos:

  1. Tener actualizada y al día la política de protección de datos: Es el documento principal donde se describe el “escenario de tratamiento de los datos” que lleva a cabo el responsable. En él se describe el ciclo de vida de los datos, es decir, la forma de recogida, la forma en que se tratan, almacenan y usan, se indican todas las posibles cesiones, las transferencias si se realizan, los nombramientos de las diferentes figuras (por ejemplo, el DPO), medios a través de los cuales se tratan los datos y forma de destruirlos una vez ya no son necesarios por la organización. En este documento se incluye, además, lo siguiente:
  2. Garantías del derecho de información para los interesados con base en los principios del RGPD: Mediante las cláusulas de información en los formularios de recogida de datos se cumple este derecho, dando transparencia y claridad en el tratamiento de los datos. Se garantiza el cumplimiento normativo de la entidad a la vez que los interesados están bien informados sobre lo que haremos con sus datos, finalidades, posibles cesiones, periodos de conservación, derechos que le asisten, donde ejercerlos, etc. A su vez, en el mismo se analizan las bases jurídicas del tratamiento.
  3. Registro de Actividades de Tratamiento (RAT): Sustituye a la anterior obligación de registrar los ficheros ante el Registro de la AEPD. Este RAT se elabora para cada uno de los tratamientos de datos llevados a cabo y contiene, como mínimo: los datos del responsable, la finalidad, la categoría de los interesados y datos tratados, si se realizan transferencias internacionales, los plazos de supresión y las medidas técnicas y organizativas de seguridad. Deberán estar siempre actualizados y a disposición de la autoridad de control que lo solicite.
  4. El análisis de riesgos: Se revisan las posibles amenazas que pueden existir en el tratamiento de los datos para que, después de valorar la probabilidad en que podrían ocurrir y el impacto que podrían tener sobre dichos tratamientos, se valore el riesgo al que están expuestos, y en función de dicho riesgo se revisen y apliquen las medidas de seguridad más efectivas para evitar, mitigar, transferir dichos riesgos, y en caso de ser analizado como un riesgo muy bajo para la empresa, llegar a aceptarlos.
  5. En caso de que proceda, realizar una evaluación de impacto: El RGPD prevé que cuando es probable que exista un riesgo alto se realice antes del tratamiento esta evaluación de impacto (PIA) con el objetivo de evaluar los riesgos potenciales a que están expuestos los datos personales. El artículo 35 del RGPD indica en que supuestos es obligatorio.
  6. Procedimientos para atender los derechos de los afectados en relación al tratamiento de sus datos personales: Los derechos que amparan a los ciudadanos son los de accesorectificaciónsupresiónoposiciónlimitación al tratamientoportabilidadderecho al olvido y el derecho a no ser objeto de decisiones automatizadas con efectos jurídicos sobre los interesados. Para dar cumplimiento al ejercicio por parte de los interesados se debe tener en cuenta el protocolo establecido tanto por la normativa como por la propia empresa, a la vez que esta ha de haberla trasladado a sus trabajadores para que no se cometan errores.
  7. Protocolos que incluyan mecanismos y procedimientos para la gestión de brechas de seguridad: Ante cualquier incidencia que se produzca en el tratamiento de los datos personales y que afecte a los derechos y libertades de las personas deberá seguirse una serie de procedimientos para cumplir con la normativa, a parte de las medidas de seguridad que se lleven a cabo en el seno de la propia entidad, para que no pueda volver a ocurrir dicha quiebra de seguridad.
  8. En caso de que proceda, designar un Delegado de Protección de Datos: El Delegado de Protección de Datos (DPD-DPO) es el garante del cumplimiento de la normativa de protección de datos en las organizaciones. Según normativa, es obligatoria su designación dependiendo del tipo de entidad que sea, y muy recomendable para el resto, aunque no sea obligatorio.
  9. En caso de que proceda, regular las transferencias internacionales de datos: Para realizar una transferencia internacional de datos acorde al RGPD/LOPDGDD, hay que llevarla a cabo mediante las directrices marcadas por la propia normativa, realizándola a países reconocidos como de nivel adecuado por la propia Comisión, a través de garantías específicas o cumpliendo con algunas de las excepciones marcadas por estas normativas. Fuera de estos casos, no se podrán realizar las transferencias.
  10. Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento de RGPD: Entre encargado y responsable de tratamiento se debe firmar un contrato de encargado de tratamiento para cumplir con lo indicado en el art. 28 del RGPD y el 33 de la LOPDGDD, en estos contratos se marcan las directrices por las que se regirá la cesión de datos a los encargados de tratamiento y les vincula con los responsables de tratamiento correspondiente.
  11. Protocolo ante trabajadores: Se entregará a cada trabajador un documento donde se le informe del propio tratamiento de sus datos, así como de sus derechos. Por otro lado, y en caso de que acceda a datos personales, el trabajador deberá garantizar su compromiso de confidencialidad. A su vez, se le hará entrega de un manual para usuarios autorizados de tratamientos de datos, a modo de normativa interna para un tratamiento acorde con el RGPD y la LOPDGDD. Es preceptivo realizar una formación siempre a los trabajadores, para acabar de asentar las bases de un buen tratamiento de datos de la empresa, pues recordemos que esta siempre es la responsable final del tratamiento de los datos.
  12. Medidas de índole técnica y organizativas a implementar: Para asegurar un buen tratamiento de datos, y siempre previo análisis de los riesgos detectados, es importantísimo aplicar todas aquellas medidas tanto técnicas como organizativas que la entidad considere para garantizar la confidencialidad, disponibilidad, integridad y resiliencia de los datos.  Ejemplos de medidas: cifrar la información y las comunicaciones, poseer credenciales de acceso y mecanismos de atribución y control de permisos a usuarios, nombramiento de DPO, formaciones al personal, etc.
  13. Si la entidad tiene página web, disponer de los preceptivos textos web: Esto implica que, cuando corresponda, se disponga del aviso legal, la política de privacidad, del banner y política de cookies y condiciones generales de contratación. Se debe tener en cuenta que los formularios web deben contar con la información de primera capa y los check correspondientes sin estar premarcados. La primera contendrá la información básica con los datos del responsable, la finalidad, la legitimación, los destinatarios, los derechos y un enlace a la política de privacidad, que es la segunda capa, donde se contiene toda la información detallada que se requieren por los artículos 13 y 14 del RGPD.

Una vez resumidos los aspectos más importantes para el cumplimiento de la normativa, es básico hablar del principio de responsabilidad proactiva, establecido en el propio RGPD, e implica que el responsable del tratamiento deberá ser capaz de demostrar que cumple y que puede demostrar dicho cumplimiento de la normativa sobre protección de datos.

Y ya sabéis que, si necesitáis ampliar información u os surge cualquier duda al respecto, estamos a vuestra disposición.

El Equipo de Pymelegal.