Fuente: Lawyerpress
La Asociación Profesional Española de Privacidad agradece el trabajo de la Agencia Española de Protección de Datos (AEPD) para tratar de atajar el problema del fraude en el asesoramiento en privacidad. Gracias a este trabajo de coordinación con otros organismos como la Inspección de Trabajo y la Seguridad Social y la Agencia Tributaria, la Agencia difunde por primera vez los riesgos de contratar servicios a “coste cero”, alertando de prácticas fraudulentas y sus importantes multas.
Desde APEP se valora muy positivamente que la AEPD conciencie de los riesgos de contratar servicios basados en créditos destinados a formación: sanción de 626 a 187.515 euros por parte Inspección de Trabajo y Seguridad Social, así como la devolución del IVA no abonado, más una multa pecuniaria proporcional por parte de la Agencia Tributaria.
La APEP viene denunciando desde hace años prácticas desleales y fraudulentas en el mercado, que perjudican sobremanera a sus integrantes, profesionales bien formados y dedicados a ofrecer servicios de calidad y seguridad jurídica.
El llamado LOPD o RGPD a “coste cero” se basa en ofrecer un servicio de consultoría y adecuación normativa a la protección de datos con cargo a los créditos que las empresas tienen para formación a sus empleados (a través de FUNDAE). Es decir, adquieren servicios ahorrándose tanto honorarios del consultor que son pagados con un dinero que debería ir a formar adecuadamente a los trabajadores, como el IVA de los mismos, provocando no solo un fraude a los trabajadores, sino un desequilibrio enorme en el mercado. La APEP también ha venido alertando a la AEPD sobre la existencia de otras prácticas, como empresas que llaman por teléfono haciéndose pasar por una unidad de inspección del regulador u otro organismo oficial haciendo creer que de no contratarles una adecuación inmediata recibirán una inspección y serán multados.
Marcos Judel, presidente de APEP, que ha participado recientemente en la 11ª Sesión Abierta de la Agencia Española de Protección de Datos, destacó en su intervención “que tanto profesionales como empresas deben establecer buenas prácticas en protección de datos. Los primeros deben ser honestos y velar por ofrecer un servicio adecuado y a medida en atención a las circunstancias de cada caso y basado en la seguridad jurídica. Las empresas deben buscar a profesionales adecuados a su actividad, reclamando esa seguridad jurídica y huyendo de servicios que pueden ser inadecuados o incluso fraudulentos como el ‘coste cero’”.
Ante la preocupación presente en el sector profesional, así como en el empresarial y las propias autoridades, por prácticas inadecuadas en ofertas de consultoría, APEP ofrece un decálogo de recomendaciones básicas que permiten a las organizaciones privadas y públicas identificar cuando se les ofrece un asesoramiento adecuado en materia de privacidad.
Decálogo para la contratación de asesoramiento en protección de datos
Al contratar un proyecto de consultoría para adecuarse al RGDP debe tenerse en cuenta que:
1. Adaptarse para cumplir la normativa requiere la implicación del cliente además del trabajo del consultor. Tanto la adecuación al RGPD como mantener este cumplimiento legal en el tiempo requiere que el cliente esté concienciado; incluso es necesario que determinadas personas de la organización intervengan activamente en el proyecto. Si en el proyecto sólo trabaja y se compromete la consultora, si le ofrecen un documento para que lo firme sin haber estudiado su empresa es muy posible que NO ESTEMOS ANTE UN BUEN PROYECTO.
2. El cumplimiento no es algo puntual, la normativa exige ahora garantizar la debida diligencia y demostrar la responsabilidad activa por la protección de los datos personales. Por tanto, requiere labores para mantener un adecuado nivel de cumplimiento en el tiempo. Si todo el proyecto se ciñe a la entrega de una documentación tras rellenar unos cuestionarios, y no se definen acciones que han de tener su continuidad en el tiempo, definitivamente NO ESTAMOS ANTE UN BUEN PROYECTO.
1. Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación de calidad y de concienciación al personal. Las formas de llevar a cabo la formación pueden ser diversas, pero deben permitir contestar afirmativamente a las siguientes cuestiones:
Si la respuesta es negativa, NO ESTAMOS ANTE UN BUEN PROYECTO.
1. La adaptación puede suponer cambios. Si tras el análisis de su organización no se han identificado las buenas prácticas y no se han propuesto correcciones a las que pudieran ser inadecuadas NO ESTAMOS ANTE UN BUEN PROYECTO.
2. El objetivo a perseguir ha de ser la adecuación plena, por tanto, el proyecto debe ofrecer acciones que persigan un cumplimiento real no sólo formal. No podemos conformarnos con un registro de actividades de tratamiento “para archivar” o un análisis de riesgos estándar que proporciona un conjunto de medidas de seguridad “pendientes de implementación” como meras recomendaciones en el mejor de los casos. La plena adaptación no concluye hasta que las medidas se hayan implementado y verificado su eficacia. En caso contrario, NO ESTAMOS ANTE UN BUEN PROYECTO.
1. Aunque le aseguren cubrir los daños derivados del asesoramiento o del incumplimiento del RGPD Vd. nunca estará del todo a salvo. Aunque se contrate la cobertura de un seguro, Vd. siempre se enfrenta al riesgo que para la reputación de su organización comporta la declaración de una infracción y su sanción y publicación en la web de la AEPD. La confianza de sus clientes no la garantiza ninguna aseguradora, exige un esfuerzo cotidiano. Si su consultora no le ha advertido de la necesidad de adoptar medidas de seguimiento y control, si no le ha indicado la importancia de verificar su seguridad cíclicamente y corregir cualquier defecto o incidencia que advierta, si le garantizan que no pasará nada que “el seguro lo cubre todo” NO ESTAMOS ANTE UN BUEN PROYECTO.
2. Ofrecer un servicio de consultoría tiene costes. En ocasiones, nos ofrecen un proyecto de adaptación al RGPD con anuncios como “esto no nos va a costar nada, o casi nada, ya que aprovecharemos una subvención de otra cosa para pagarlo”. El asesoramiento jurídico y técnico no puede venderse a 2X1. Si Vd. es empresario, si administra una organización sabe perfectamente que ofrecer dos servicios por uno, y generalmente a precios por debajo de los del mercado es un negocio ruinoso. Cuando una empresa nos ofrezca un servicio de esta naturaleza es muy probable que nos esté animando a cometer un fraude, Si nos dicen “esto es gratis”, o “se lo regalo con un proyecto de formación subvencionada” NO ESTAMOS ANTE UN BUEN PROYECTO.
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación