Pràctiques agressives en protecció de dades

PRÀCTIQUES AGRESSIVES DIRIGIDES A RESPONSABLES O ENCARREGATS DE TRACTAMENT

La competència deslleial existeix a la majoria dels sectors, relacionant-se normalment amb casos de dúmping, engany o confusió. Lamentablement, al nostre sector també es detecten casos d'accions comercials que incorren en aquest tipus d'engany.

La mateixa APEP (Associació Espanyola de Protecció de Dades) va informar que s'havien detectat casos de trucades fraudulentes a tota mena d'organitzacions, suposadament realitzades des d'una entitat col·laboradora de l'AEPD (Agència Espanyola de Protecció de Dades), en què se'ls informava d'una presumpta sanció en matèria de protecció de dades que podria reduir-se si en 24 hores permeten visitar un tècnic.

Per la dimensió del problema, la pròpia Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD) va incloure a la seva Disposició addicional setzena, contingut respecte a aquestes considerades pràctiques agressives en matèria de protecció de dades, conforme a la Llei 3/1991, de 10 de gener, de Competència Deslleial.

Aquestes pràctiques agressives, realitzades per suposats consultors de privadesa, consisteixen en:

• Suplantar la identitat o aparentar que s'actua en nom de l'AEPD o de qualsevol autoritat de control, en qualsevol comunicació als RT i ET o als interessats, fins i tot oferint-hi els productes o serveis del suposat consultor.
• Usar la tàctica de la por cap a possibles multes per incompliment de la normativa de protecció de dades, coartant el poder de decisió dels destinataris, fent referència a la possible imposició de sancions per incompliment de la normativa.
• Oferir falses acreditacions o falsos certificats de compliment, de manera complementària a la realització d'activitats formatives, sense dur a terme les accions indispensables per verificar que aquest compliment es produeix efectivament.
• Assumir la funció de delegat de protecció de dades (DPO) sense estar designat expressament pel RT o ET, autonomenant-se DPO o comunicant-se amb l'Autoritat de control com a DPO. Fins i tot fer creure l'entitat que està obligada en qualsevol cas a designar un DPO o oferir serveis innecessaris per als tractaments que fa l'entitat.

Els serveis d?adequació a la normativa de privadesa requereixen de la realització d?un estudi individual detallat de l?entitat, els tipus de tractaments que es realitzen, els sistemes informàtics i els sistemes de gestió documental, aplicant els principis de protecció de dades en els procediments . Per tant, és insuficient un assessorament basat en documents genèrics que no tinguin en compte les característiques específiques de lactivitat de lentitat.

A més, aquestes empreses que duen a terme aquest tipus de pràctiques agressives fan implementacions a cost zero, i l'AEPD ha advertit moltes vegades dels riscos de contractar els serveis d'adequació a la normativa de protecció de dades a empreses que els ofereixen a “cost zero”, és a dir, en un servei d'adequació a la normativa de protecció de dades a un preu molt baix o fins i tot de forma gratuïta, abonant-ne el pagament mitjançant els crèdits que les entitats tenen destinats als programes de formació per a les seves persones treballadores, i que són objecte de bonificació per part de la Seguretat Social. La contractació daquest tipus de servei pot derivar en infraccions que se sancionaran, per la Inspecció de Treball i Seguretat Social, amb multes de 626,00€ a 187.515,00€.

A més, pel que fa al compliment d'obligacions tributàries per part de les entitats, tant de qui ofereix el servei com de qui el contracta, les activitats formatives destinades a les persones treballadores estan exemptes d'IVA, mentre que el tipus que correspon a un servei d?adequació a una determinada normativa, com en aquest cas seria la protecció de dades seria del 21%. Si s'emmascara el servei realment dut a terme es pot estar cometent, per tant, una infracció tributària, sancionable amb multa pecuniària proporcional, del 50% en endavant, sobre la quantia no ingressada.

L'AEPD recorda la conveniència que les entitats i els autònoms que vulguin o hagin de contractar serveis d'adequació a la normativa de protecció de dades s'assegurin que els serveis que se'ls ofereixen no incorren en les pràctiques esmentades anteriorment.

Per això s'ha de verificar sempre la professionalitat del consultor que ens durà a terme el servei i la qualitat del mateix, i denunciar davant l'AEPD les empreses que duguin a terme aquestes pràctiques deslleials amb l'objectiu de prevenir el frau i evitar-ne la banalització de la protecció de dades personals.

La utilització d'un segell o certificació en matèria de protecció de dades que no hagi estat atorgada per una entitat de certificació degudament acreditada o en cas que la vigència hagi expirat es considera una infracció greu (art. 73.x LOPDGDD).

NORMATIVA APLICABLE

Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD)

Disposició addicional setzena. Pràctiques agressives en matèria de protecció de dades.

Als efectes previstos a l'article 8 de la Llei 3/1991, de 10 de gener, de competència deslleial, es consideren pràctiques agressives les següents:

a) Actuar amb intenció de suplantar la identitat de l'Agència Espanyola de Protecció de Dades o d'una autoritat autonòmica de protecció de dades en la realització de qualsevol comunicació als responsables i als encarregats dels tractaments o als interessats.

b) Generar l'aparença que s'està actuant en nom, per compte o en col·laboració amb l'Agència Espanyola de Protecció de Dades o una autoritat autonòmica de protecció de dades en la realització de qualsevol comunicació als responsables i encarregats dels tractaments en què la remitent ofereixi els seus productes o serveis.

c) Realitzar pràctiques comercials en què es coarti el poder de decisió dels destinataris mitjançant la referència a la possible imposició de sancions per incompliment de la normativa de protecció de dades personals.

d) Oferir qualsevol tipus de document pel qual es pretengui crear una aparença de compliment de les disposicions de protecció de dades de forma complementària a la realització daccions formatives sense haver dut a terme les actuacions necessàries per verificar que aquest compliment es produeix efectivament.

e) Assumir, sense designació expressa del responsable o lencarregat del tractament, la funció de delegat de protecció de dades i comunicar-se en aquesta condició amb lAgència Espanyola de Protecció de Dades o les autoritats autonòmiques de protecció de dades.

Llei 3/1991, de 10 de gener, de Competència Deslleial

Article 8. Pràctiques agressives.

1. Es considera deslleial tot comportament que tenint en compte les seves característiques i circumstàncies, sigui susceptible de minvar de manera significativa, mitjançant assetjament, coacció, inclòs l'ús de la força, o influència indeguda, la llibertat d'elecció o conducta del destinatari en relació el bé o servei i, per tant, afecti o pugui afectar el seu comportament econòmic.

A aquests efectes, es considera influència indeguda la utilització duna posició de poder en relació amb el destinatari de la pràctica per exercir pressió, fins i tot sense usar força física ni amenaçar amb el seu ús.

2. Per determinar si una conducta fa ús de l'assetjament, la coacció o la influència indeguda es tindran en compte:

a) El moment i el lloc en què es produeix, la naturalesa o la persistència.

b) L'ús d'un llenguatge o comportament amenaçador o insultant.

c) L'explotació per part de l'empresari o professional de qualsevol infortuni o circumstància específics prou greus com per minvar la capacitat de discerniment del destinatari, dels quals tingui coneixement, per influir en la seva decisió respecte al bé o servei.

d) Qualssevol obstacles no contractuals onerosos o desproporcionats imposats per l'empresari o professional quan l'altra part vulgui exercir drets legals o contractuals, inclosa qualsevol manera de posar fi al contracte o canviar de bé o servei o de subministrador.

e) La comunicació que es realitzarà qualsevol acció que, legalment, no es pugui exercir.