Riesgos de contratar servicios de protección de datos a coste cero
9 de agosto de 2019
Riesgos de contratar servicios de protección de datos a coste cero
La Agencia Española de Protección de Datos ha publicado un documento sobre los peligros de la contratación de servicios de adecuación a “coste cero”. Una práctica que consiste en ofrecer una adaptación a la protección de datos a un precio muy bajo o de forma gratuita. Se conoce como “LOPD a coste cero” y se basa en la financiación fraudulenta con créditos de formación a trabajadores.
La Agencia Española de Protección de Datos (AEPD) ha publicado un documento informativo en el que alerta a pymes y autónomos de los riesgos de contratar los servicios de adecuación a la normativa de protección de datos a empresas que la ofrecen a "coste cero". El documento, que ha sido elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, también recoge otras prácticas fraudulentas que suelen estar asociadas a este tipo de servicios.
¿En qué consiste la adecuación a la normativa de protección de datos conocida como "coste cero"?
Consiste en ofertar estos servicios a un precio muy bajo o incluso de forma gratuita, abonando el pago de estos mediante los fondos de la empresa destinados a los programas de formación para trabajadores, que son objeto de bonificación por parte de la Seguridad Social.
Un servicio de adecuación a una normativa específica requiere, para obtener un resultado correcto, un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, además de un programa formativo para los empleados de la entidad.
Cuidado con la posible sanción
La contratación del servicio de adecuación a la normativa de protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.
Por lo que respecta al cumplimiento de obligaciones tributarias por parte de las empresas, tanto de quien oferta el servicio como de quien lo contrata, las actividades formativas dirigidas a los empleados están exentas de tributación por el Impuesto del Valor Añadido (IVA), mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21%. De enmascararse el servicio realmente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.
Recomendaciones para contratar asesoramiento de protección de datos
• El cumplimiento de la protección de datos es una labor conjunta entre la consultoría y el cliente. Además del trabajo de la asesoría, es imprescindible una implicación activa de la empresa.
• El principio de responsabilidad activa es un proceso de mejora continua que requiere definir acciones con una continuidad en el tiempo. Una correcta adecuación al Reglamento General de Protección de Datos (RGPD) se necesitan trabajos continuados de un mínimo de 3 años.
• El cumplimiento del RGPD debe adaptarse a las características de cada empresa. Se requiere un análisis jurídico a medida que entienda cada tratamiento de datos.
• El proyecto de adecuación debe asegurar la concienciación y formación de los empleados que realicen tratamientos de datos en la organización.
• La adecuación puede suponer cambios en los procesos y nuevas tareas dentro de la organización, no sólo cambios de documentación.
• La adecuación plena incluye procesos para el cumplimiento real y no sólo documentación actualizada para una adaptación formal.
• La consultoría debe contar con un equipo con formación especializada y experiencia demostrable en privacidad. También son necesarios conocimientos complementarios a nivel tecnológico y organizativo.
• Los servicios de consultoría suponen horas de trabajo profesional con un coste. No puede ofrecerse de forma gratuita ni desviar fondos de formación subvencionados a ese fin.