Prácticas agresivas en protección de datos


Josep Aragonés Salvat     30/04/2024

PRÁCTICAS AGRESIVAS DIRIGIDAS A RESPONSABLES O ENCARGADOS DE TRATAMIENTO

La competencia desleal existe en la mayoría de los sectores, relacionándose normalmente con casos de dumping, engaño o confusión. Lamentablemente, en nuestro sector también se vienen detectando casos de acciones comerciales que incurren en este tipo de engaño.

La misma APEP (Asociación Española de Protección de Datos) informó que se habían detectado casos de llamadas fraudulentas a todo tipo de organizaciones, supuestamente realizadas desde una entidad colaboradora de la AEPD (Agencia Española de Protección de Datos), en las que se les informaba de una presunta sanción en materia de protección de datos que podría reducirse si en 24 horas permiten la visita de un técnico.

Por la dimensión del problema, la propia Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) incluyó en su Disposición adicional decimosexta, contenido respecto a estas consideradas prácticas agresivas en materia de protección de datos, conforme a la Ley 3/1991, de 10 de enero, de Competencia Desleal.

Dichas prácticas agresivas, realizadas por supuestos consultores de privacidad, consisten en:

  • Suplantar la identidad o aparentar que se actúa en nombre de la AEPD o de cualquier autoridad de control, en cualquier comunicación a los RT y ET o a los interesados, incluso ofreciendo en las mismas los productos o servicios del supuesto consultor.
  • Usar la táctica del miedo hacia posibles multas por incumplimiento de la normativa de protección de datos, coartando el poder de decisión de los destinatarios, haciendo referencia a la posible imposición de sanciones por incumplimiento de la normativa.
  • Ofrecer falsas acreditaciones o falsos certificados de cumplimiento, de forma complementaria a la realización de actividades formativas, sin llevar a cabo las acciones indispensables para verificar que dicho cumplimiento se produce efectivamente.
  • Asumir la función de delegado de protección de datos (DPO) sin estar designado expresamente por el RT o ET, autonombrándose DPO o comunicándose con la Autoridad de control como DPO. Incluso hacer creer a la entidad que está obligada en cualquier caso a designar un DPO u ofrecer servicios innecesarios para los tratamientos que realiza la entidad.

Los servicios de adecuación a la normativa de privacidad requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos. Por tanto, es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad de la entidad.

Además, estas empresas que llevan a cabo este tipo de prácticas agresivas realizan implementaciones a coste cero, y la AEPD ha advertido en numerosas ocasiones de los riesgos de contratar los servicios de adecuación a la normativa de protección de datos a empresas que los ofrecen a “coste cero”, es decir en un servicio de adecuación a la normativa de protección de datos a un precio muy bajo o incluso de forma gratuita, abonando el pago de estos mediante los créditos que las entidades tienen destinados a los programas de formación para sus personas trabajadoras, y que son objeto de bonificación por parte de la Seguridad Social. La contratación de este tipo de servicio puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626,00€ a 187.515,00€.

Además, en lo referente al cumplimiento de obligaciones tributarias por parte de las entidades, tanto de quien oferta el servicio como de quien lo contrata, las actividades formativas destinadas a las personas trabajadoras están exentas de IVA, mientras que el tipo que corresponde a un servicio de adecuación a una determinada normativa, como en esta caso sería la protección de datos sería del 21%. De enmascararse el servicio realmente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.

La AEPD recuerda la conveniencia de que las entidades y autónomos que quieran o tengan que contratar servicios de adecuación a la normativa de protección de datos se aseguren de que los servicios que se les ofrecen no incurren en las prácticas mencionadas con anterioridad.

Por eso se debe verificar siempre la profesionalidad del consultor que nos va a llevar a cabo el servicio y la calidad del mismo, y denunciar ante la AEPD a las empresas que lleven a cabo estas prácticas desleales con el objetivo de prevenir el fraude y evitar la banalización de la protección de datos personales.

La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado se considera una infracción grave (art. 73.x LOPDGDD).

NORMATIVA APLICABLE

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

Disposición adicional decimosexta. Prácticas agresivas en materia de protección de datos.

A los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, se consideran prácticas agresivas las siguientes:

a) Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.

b) Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.

c) Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.

d) Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.

e) Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos.

Ley 3/1991, de 10 de enero, de Competencia Desleal

Artículo 8. Prácticas agresivas.

1. Se considera desleal todo comportamiento que teniendo en cuenta sus características y circunstancias, sea susceptible de mermar de manera significativa, mediante acoso, coacción, incluido el uso de la fuerza, o influencia indebida, la libertad de elección o conducta del destinatario en relación al bien o servicio y, por consiguiente, afecte o pueda afectar a su comportamiento económico.

A estos efectos, se considera influencia indebida la utilización de una posición de poder en relación con el destinatario de la práctica para ejercer presión, incluso sin usar fuerza física ni amenazar con su uso.

2. Para determinar si una conducta hace uso del acoso, la coacción o la influencia indebida se tendrán en cuenta:

a) El momento y el lugar en que se produce, su naturaleza o su persistencia.

b) El empleo de un lenguaje o un comportamiento amenazador o insultante.

c) La explotación por parte del empresario o profesional de cualquier infortunio o circunstancia específicos lo suficientemente graves como para mermar la capacidad de discernimiento del destinatario, de los que aquél tenga conocimiento, para influir en su decisión con respecto al bien o servicio.

d) Cualesquiera obstáculos no contractuales onerosos o desproporcionados impuestos por el empresario o profesional cuando la otra parte desee ejercitar derechos legales o contractuales, incluida cualquier forma de poner fin al contrato o de cambiar de bien o servicio o de suministrador.

e) La comunicación de que se va a realizar cualquier acción que, legalmente, no pueda ejercerse.