El desarrollo de los derechos y mecanismos de defensa en materia de protección de datos que hemos vivido en los últimos años ha ido parejo al nacimiento de una red de chiringuitos de protección de datos que, echando mano de la picaresca, han diseñado métodos para beneficiarse de las necesidades de empresas y autónomos de adecuar sus procesos al nuevo marco legal.
La Agencia Española de Protección de Datos (AEPD) no ha permanecido ajena a este fenómeno y, como garante y máxima autoridad en protección de datos, ha advertido esta pasada semana de manera oficial sobre la existencia de estos chiringuitos y sobre los riesgos que corren quienes caen en sus redes.
En el artículo publicado en su página web, la AEPD ha desgranado el modus operandi de estos chiringuitos dando especial protagonismo al que quizá sea el fraude más extendido, el de la adecuación a la normativa a coste cero.
En este artículo queremos sintetizar de manera breve y clara las tipologías más frecuentes de fraude o engaño de las que tenemos constancia a través de nuestro contacto con cientos de clientes pertenecientes a diversos sectores. En cualquier caso, recomendamos la lectura tanto del artículo como del documento adjunto en el que se desgrana más en detalle los riesgos y consecuencias que la contratación de servicios de protección de datos a estos chiringuitos puede acarrear.
El fraude de la consultoría de protección de datos “a coste cero”
En este fraude la consultora se pone en contacto con la empresa ofreciéndole la realización de una consultoría de protección de datos enmascarada como servicios de formación. De este modo, la consultora de protección de datos es contratada como empresa de formación a empleados.
Estos chiringuitos de protección de datos funcionan ofreciendo la formación y su tramitación haciendo que la empresa contratante no tenga ningún coste ya que el dinero se descuenta de los seguros sociales de los empleados. El dinero que se pague será posteriormente reembolsado por la Seguridad Social para el pago de la supuesta formación que no se ha llevado a cabo. El fraude requiere de la realización de una serie de procesos administrativos como el alta en el sistema o la aportación de materiales de formación, todo esto es ofrecido por la consultora como parte de su fraude.
Este fraude se mete en terrenos legales muy peligrosos para la empresa contratante porque estamos hablando de utilizar fondos públicos para un fin distinto al que han sido destinados o, en otras palabras, prevaricación.
La AEPD recuerda que este tipo de fraude puede acarrear sanciones por parte de la Inspección de Trabajo, por utilizar de modo indebido fondos destinados a la formación a trabajadores, y de la Agencia Tributaria, ya que se estarían evadiendo los impuestos a los que está sujeta la auditoría. En total las multas que se pueden imponer van de 626 euros a 187.515 euros.
Hacerse pasar por la AEPD o la Seguridad Social
En esta tipología de fraude la consultora suele asociar su imagen a la de la Agencia Española de Protección de Datos para tratar de convencer al potencial cliente de que contrate con ellos porque son los proveedores oficiales de ese tipo de servicio. En ocasiones llegan incluso a suplantar directamente a la propia AEPD u otros organismos públicos como la Seguridad Social para ejercer presión sobre la empresa o autónomo para que contrate los servicios.
Un ejemplo sería el de clientes que han declarado haber recibido llamadas de la Seguridad Social demandándoles pruebas de que tienen en orden “la protección de datos de los empleados”. Tras devolver la llamada al número desde el que partía supuesta llamada de la Seguridad Social, respondía una consultora que entre sus servicios incluye la gestión de protección de datos.
La AEPD recuerda que estas actuaciones se consideran “prácticas agresivas” en las que se trata de coartar el poder de decisión de los responsables de tratamiento mediante el engaño. Este tipo de prácticas, de acuerdo con la Ley de Competencia Desleal, podrían ser denunciadas en los juzgados mercantiles y la propia Comisión del Mercado de la Competencia podría entrar a sancionar también.
Tratar de convencer al cliente de la contratación de servicios que la ley no requiere
La ley contempla casos en los que el nombramiento de un Delegado de Protección de Datos (DPD) es obligatorio. Existen también casos de empresas que, aun no estando obligadas, prefieren nombrar un DPD voluntariamente para reforzar su gestión de la protección de datos. Lo que no se puede hacer es informar a una empresa de que está obligada a la contratación de un DPD cuando no cumple con los requisitos que marca la ley. El DPD no es obligatorio para todas las empresas, un dato que los chiringuitos de protección de datos prefieren ocultar.
Se está engañando a muchas empresas con la obligatoriedad de contar con un DPD para incluir una partida más en los honorarios de estas consultoras fraudulentas.
Tratar de asustar al potencial cliente con posibles multas
La AEPD recoge esta práctica también en su lista de fraudes más comunes en consultoría de protección de datos. En este caso, se intenta coartar la libertad de elección del potencial cliente amenazándole con multas de elevada cuantía. Este tipo de fraude está considerado también “práctica agresiva” por parte de la AEPD y por lo tanto se aplicarían las mismas medidas que para el caso de la suplantación.
Debemos estar alerta ante este tipo de fraudes en protección de datos
El informe de la AEPD y la propia experiencia del día a día en el sector de la protección de datos nos dejan claro que este tipo de prácticas existen y son relativamente comunes. Por lo tanto, es importante conocer cómo funcionan y, de ese modo, evitar ser víctimas de este tipo de fraudes.
En caso de sospechar que se está siendo víctima de un fraude se aconseja ponerse en contacto con la AEPD para informar y denunciar.
Por último, es importante subrayar que en protección de datos no hay atajos. Como se encarga de recordar la AEPD en este párrafo que por su claridad e importancia reproducimos directamente:
“La Agencia también advierte a pymes y autónomos, destinatarios fundamentales de este tipo de prácticas, que los servicios de adecuación a la normativa requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos. Por tanto, es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad.”