¿Es buena idea contratar a terceros para adecuar la protección de datos?

Las siguientes actuaciones podrían conllevar una sanción por ser consideradas prácticas fraudulentas:

Cumplimiento de forma, pero no de fondo del RGPD

La “Adecuación a la normativa de protección de datos” puede estar realizándose entregando al cliente unos formularios ya cumplimentados con los que supuestamente se estaría cubierto de posibles infracciones . Pero como nos recuerda la Agencia Española de Protección de Datos (AEPD) el cumplimiento del RGPD no puede ser un cumplimiento meramente formal, sino que implica revisar, diseñar y aplicar los principios de protección de datos a las circunstancias específicas de cada empresa.

El incumplimiento de la normativa de protección de datos por parte del responsable o del encargado del tratamiento constituye una infracción, por la que la AEPD podría llegar a imponer una sanción.

Servicios innecesarios

Algunas empresas que ofrecen este servicio venden como algo necesario la necesidad de que las entidades, pymes y autónomos contraten a un tercero el servicio de adecuación, dando a entender que realizarlo con los medios propios implicaría un esfuerzo o un coste inasumible. Esta publicidad es engañosa, y a veces ofrece servicios innecesarios, o incluso como si se trataran de formación, cuando no lo son.

Incluso pueden llegar a ofrecer la puesta a disposición de un Delegado de Protección de Datos, haciendo creer que su nombramiento es siempre obligatorio, cuando disponer de un DPD no es obligatorio en todos los casos. Además, la decisión acerca del mejor modo de realizar la adecuación debería tomarse en base al tipo de entidad, en función del tratamiento de datos que realicen y de los recursos humanos y materiales de los que se disponga.

Asimismo, los ofertantes pueden emplear signos institucionales (por ejemplo, el logotipo de la AEPD o de entidades de certificación acreditadas) para hacer creer que cuentan con el aval de organismos públicos.

Prácticas agresivas y competencia desleal

Esto se considera práctica agresiva porque actúan con la apariencia de que se está actuando en colaboración con la AEPD. Además se asusta al destinatario de esta publicidad al advertirle de la posible imposición de sanciones por incumplimiento de la normativa de protección de datos. En caso de producirse este tipo de prácticas agresivas, los afectados podrán ejercitar las acciones oportunas ante los juzgados de lo mercantil.
Además en aquellos casos en los que los ofertantes estuvieren publicitando servicios a un coste notoriamente inferior a los precios de mercado, se podría estar cometiendo competencia desleal .

Utilización de fondos destinados a programas de formación

Cuando se ofrece un servicio de adecuación a la normativa de protección de datos a coste cero, en algunos casos viene financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo. Si esto sucede podrá conllevar infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa. Además de establecer la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.

Infracción tributaria

Las actividades formativas dirigidas a los empleados están exentas de tributación por el Impuesto del Valor Añadido (IVA), mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21% por lo que si se intenta hacer pasar como formación lo que realmente es un servicio profesional de adecuación normativa se puede estar cometiendo una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.

Puedes ampliar esta información desde este enlace.