Hace varias semanas que recibimos llamadas bastante curiosas por parte de diversos clientes de PSN SERCON. En ellas nos comentan que alguien se ha puesto en contacto con ellos informándoles de que pertenecen a una Agencia de Protección de Datos y que como les consta que esta empresa está desactualizada en esta materia y como se están produciendo inspecciones en la zona, se ponen en contacto para que les pongan al día de todo. Por supuesto, según el número de empleados, se hará a cargo de los fondos para formación de la Fundae y que el teléfono lo han obtenido de las Listas Robinson. Inserte gif de cabeza estallando aquí.
A la moda de las empresas que ofrecen servicios de Consultoría para la adaptación a la vigente normativa de Protección de Datos, se han sumado las que siguen la estrategia del absurdo, el miedo, la confusión y el engaño:
Absurdo porque las Listas Robinson son precisamente listas de exclusión publicitaria para que, quien allí se haya registrado, deje de recibir comunicaciones comerciales, presente en la antigua normativa (art. 48 del RD1720/2007) y en el artículo 23 de la reciente Ley Orgánica 3/2018. Incoherencia supina y hablar de lo que se desconoce.
Miedo porque el temor a una sanción que pueda alcanzar los 20 millones de euros o, en el caso de las empresas, el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía… pues puede poner en riesgo ya no la simple viabilidad de un negocio sino el futuro económico de un particular. Pero obvian el Considerando 148 del RGPD: “En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento”.
Confusión porque hablan de un registro en el que las empresas constan como adaptadas o no adaptadas al Reglamento Europeo. Registro que NO EXISTE. La única forma de conocer si una determinada empresa está tratando información de la manera adecuada es auditándola o inspeccionándola en detalle. Desde el 14 de mayo de 2018, la Agencia Española de Protección de Datos decidió retirar el acceso al Registro de Ficheros ya que la obligación de declarar estos ficheros se eliminaba con el RGPD, por lo que perdía todo su sentido. Sí existe el registro de Delegados de Protección de Datos, pero no todo Responsable de Tratamiento debe implantar esta figura en su empresa (art. 37 del RGPD y art. 34 de la LO 3/2018). Y aún así, haber nombrado un Delegado de Protección de Datos o haber notificado en su momento los ficheros no significa que esté cumpliendo perfectamente con la normativa vigente en seguridad de la información.
Por último, el engaño pretendiendo suplantar la identidad de la Agencia Española de Protección de Datos, lo que a los efectos previstos de la Ley 3/1991 de Competencia Desleal, se considera una práctica agresiva, al igual que la práctica comercial en la que se coarte el poder de decisión de los destinatarios mediante la referencia a posible imposición de sanciones. Un ejemplo ilustrativo de resolución de la AEPD se puede encontrar en este enlace.
Sobre prestar el servicio con cargo a los fondos destinados a la formación a empleados, mejor no hablamos porque la AEPD ya ha advertido a las PYMES que opten por esta vía de consecuencias punitivas.
