Cada vez son más los intentos de fraudes que reciben las empresas a través de diferentes vías, sobre todo, la telefónica. Por ello, Auditaris quiere explicarte 4 grandes casos de prácticas agresivas en protección de datos para que tu entidad esté a salvo en todo momento de posibles estafas.
¿Está libre el sector de prácticas agresivas?
Por supuesto que no. Como ocurre en otros muchos sectores, la protección de datos no está exento de prácticas agresivas que perturben la seguridad de las empresas. Por lo tanto, si necesitas ayuda para velar por los intereses de tu entidad, Auditaris te aconseja.
La competencia desleal existe en la mayoría de los sectores, relacionándose normalmente con casos de dumping, engaño o confusión. Lamentablemente, en nuestro sector también se vienen detectando casos de acciones comerciales que incurren en este tipo de engaño, denominadas prácticas agresivas.
La misma APEP (Asociación Española de Protección de Datos) informó que se habían detectado casos de llamadas fraudulentas a todo tipo de organizaciones, supuestamente realizadas desde una entidad colaboradora de la AEPD (Agencia Española de Protección de Datos), en las que se les informaba de una presunta sanción en materia de protección de datos que podría reducirse si en 24 horas permiten la visita de un técnico.
Por la dimensión del problema, la propia Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) incluyó en su Disposición adicional decimosexta, contenido respecto a estas consideradas prácticas agresivas en materia de protección de datos, conforme a la Ley 3/1991, de 10 de enero, de Competencia Desleal.
Auditaris, que también ofrece la implementación del Plan de Igualdad o el Canal Denuncia, entre otros muchos servicios, aporta las herramientas necesarias para no caer en los distintos timos que pueden perturbar la seguridad de tu empresa.
Los 4 grandes casos de prácticas agresivas en protección de datos
Dichas prácticas agresivas, realizadas por supuestos consultores de privacidad, consisten en:
- Suplantar la identidad o aparentar que se actúa en nombre de la AEPD o de cualquier autoridad de control, en cualquier comunicación a los responsables de privacidad (RT) y encargados de tratamiento (ET) o a los interesados, incluso ofreciendo en las mismas los productos o servicios del supuesto consultor.
- Usar la táctica del miedo hacia posibles multas por incumplimiento de la normativa de protección de datos, coartando el poder de decisión de los destinatarios, haciendo referencia a la posible imposición de sanciones por incumplimiento de la normativa.
- Ofrecer falsas acreditaciones o falsos certificados de cumplimiento, de forma complementaria a la realización de actividades formativas, sin llevar a cabo las acciones indispensables para verificar que dicho cumplimiento se produce efectivamente.
- Asumir la función de delegado de protección de datos (DPO) sin estar designado expresamente por el RT o ET, autonombrándose DPO o comunicándose con la Autoridad de control como DPO. Incluso hacer creer a la entidad que está obligada en cualquier caso a designar un DPO u ofrecer servicios innecesarios para los tratamientos que realiza la entidad.
¿Qué hacer ante estas prácticas agresivas?
Los servicios de adecuación a la normativa de privacidad requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos.
Por tanto, es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad de la entidad. Con todo ello, Auditaris también te informa sobre estas cuatro estafas y otras como es el phising.
Además, estas empresas que llevan a cabo este tipo de prácticas agresivas realizan implementaciones a coste cero, y la AEPD ha advertido en numerosas ocasiones de los riesgos de contratar los servicios de adecuación a la normativa de protección de datos a empresas que los ofrecen a “coste cero”.
Es decir, en un servicio de adecuación a la normativa de protección de datos a un precio muy bajo o incluso de forma gratuita, abonando el pago de estos mediante los créditos que las entidades tienen destinados a los programas de formación para sus personas trabajadoras, y que son objeto de bonificación por parte de la Seguridad Social.
La contratación de este tipo de servicio puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626,00€ a 187.515,00€.
Además, en lo referente al cumplimiento de obligaciones tributarias por parte de las entidades, tanto de quien oferta el servicio como de quien lo contrata, las actividades formativas destinadas a las personas trabajadoras están exentas de IVA, mientras que el tipo que corresponde a un servicio de adecuación a una determinada normativa, como ocurre en este caso, la protección de datos sería del 21 %.
De enmascararse el servicio realmente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50 % en adelante, sobre la cuantía no ingresada.
La AEPD recuerda la conveniencia de que las entidades y autónomos que quieran o tengan que contratar servicios de adecuación a la normativa de protección de datos se aseguren de que los servicios que se les ofrecen no incurren en las prácticas mencionadas con anterioridad.
¿Cómo evitar estas prácticas agresivas?
Por eso se debe verificar siempre la profesionalidad del consultor que nos va a llevar a cabo el servicio y la calidad del mismo, y denunciar ante la AEPD a las empresas que lleven a cabo estas prácticas desleales con el objetivo de prevenir el fraude y evitar la banalización de la protección de datos personales.
La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado se considera una infracción grave (artículo 73 de LOPDGDD).
¿Qué prácticas agresivas considera la ley?
A los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, se consideran prácticas agresivas las siguientes:
- Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.
- Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.
- Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.
- Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.
- Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos.
¿Hay ley contra la Competencia Desleal?
La Ley 3/1991, de 10 de enero, de Competencia Desleal, es la que aspira a poner término a la tradicional disposición de incertidumbre y desamparo, según el BOE, para crear un marco jurídico que encauce las prácticas agresivas que se han visto ante una avalancha de intentos de fraudes y estafas.
Artículo 8. Prácticas agresivas.
1. Se considera desleal todo comportamiento que teniendo en cuenta sus características y circunstancias, sea susceptible de mermar de manera significativa, mediante acoso, coacción, incluido el uso de la fuerza, o influencia indebida, la libertad de elección o conducta del destinatario en relación al bien o servicio y, por consiguiente, afecte o pueda afectar a su comportamiento económico.
A estos efectos, se considera influencia indebida la utilización de una posición de poder en relación con el destinatario de la práctica para ejercer presión, incluso sin usar fuerza física ni amenazar con su uso.
2. Para determinar si una conducta hace uso del acoso, la coacción o la influencia indebida se tendrán en cuenta:
- El momento y el lugar en que se produce, su naturaleza o su persistencia.
- El empleo de un lenguaje o un comportamiento amenazador o insultante.
- La explotación por parte del empresario o profesional de cualquier infortunio o circunstancia específicos lo suficientemente graves como para mermar la capacidad de discernimiento del destinatario, de los que aquél tenga conocimiento, para influir en su decisión con respecto al bien o servicio.
- Cualesquiera obstáculos no contractuales onerosos o desproporcionados impuestos por el empresario o profesional cuando la otra parte desee ejercitar derechos legales o contractuales, incluida cualquier forma de poner fin al contrato o de cambiar de bien o servicio o de suministrador.
- La comunicación de que se va a realizar cualquier acción que, legalmente, no pueda ejercerse.
En este artículo sobre prácticas agresivas, Auditaris, que está preocupado por la seguridad de las organizaciones privadas y públicas, ha querido informaros sobre algunas prácticas agresivas y traicioneras que ponen en riesgo la protección de los datos de las entidades. Siempre velando en contra de la vulnerabilidad. Contacta con nosotros.