El "coste cero", el fraude del RGPD en las empresas

La entrada en vigor del RGPD y de la LOPDGDD ha provocado que las empresas tengan que modificar su política de privacidad y su modelo de cumplimiento para adaptarse a la nueva normativa europea sobre protección de datos.

En este contexto, ha surgido un nuevo intento de estafa provocado por empresas que afirman llevar a cabo una implantación del RGPD, dirigida fundamentalmente a PYMES y autónomos, que emplea la estrategia de ofertar el servicio a coste mínimo, o incluso sin coste para la organización que desea adaptarse al nuevo marco legal.

La estafa del RGPD que perjudica a tu empresa.

Este tipo de estafa es calificada por la AEPD (Agencia Española de Protección de Datos) como “coste cero” y consiste en ofrecer una adecuación completa a la normativa a un precio bajo o incluso de un modo gratuito.

Si bien es cierto que el precio puede ser un indicativo para una empresa de que está siendo víctima de una estafa, también existen otros factores que pueden dejar entrever si una empresa sufre una implantación inadecuada. Algunos ejemplos de ello pueden ser los siguientes:

La adecuación al RGPD consiste en recibir formularios cumplimentados con los que, supuestamente, se cumple con la normativa.

En este caso los formularios no bastarían para cumplir con el RGPD, siendo imprescindible un análisis previo de la empresa y una evaluación específica de los riesgos para crear un sistema de compliance basado en medidas a implementar para obtener niveles de seguridad adecuados. En esta entrada te contamos otros errores que las empresas suelen cometer al implementar el RGPD.

Se intenta engañar a las empresas para que contraten servicios que pueden no resultar necesarios ni obligatorios.

Es decir, en este caso se busca que se contrate un supuesto Delegado de Protección de Datos, el cual no siempre es necesario y debe cumplir una serie de requisitos. En este post podrás saber más acerca de este profesional y sus requisitos.

Además, si a la hora de hacer esta publicidad de terceros se emplean logos institucionales como el propio de la AEPD, puede ser motivo para tomar medidas y ser gravemente sancionado.

Se emplean fondos públicos destinados a formación profesional para financiar la implementación del RGPD.

Realizar la implementación a coste cero argumentando que puede financiarse a través de fondos públicos destinados a la formación profesional de los trabajadores, puede conllevar multas de entre 626€ y 187.515 € aplicables a los distintos sujetos que han intervenido en el acto. Es decir, la empresa contratante también será objeto de la multa impuesta, en este caso, por la Inspección de Trabajo y Seguridad Social.

Esos créditos para la formación únicamente deberán dirigirse a cubrir la necesaria formación de los trabajadores en materia de protección de datos, pero nunca podrán ser utilizados para financiar un servicio de consultoría externo destinado a la implantación de un sistema o programa de cumplimiento del RGPD.

El coste de realizar la actividad formativa en las empresas lleva un 21% de IVA.

Las actividades de formación están exentas de tributar por el IVA para ambas partes. Sin embargo, los servicios de consultoría e implantación llevan aparejado el IVA correspondiente del 21%, al igual que cualquier otro tipo de servicio o de adaptación a una legislación. Una infracción de este tipo conlleva una multa de mínimo el 50% de la cantidad no ingresada.

La forma correcta de llevar a cabo la implementación del RGPD.

Una correcta implementación del sistema introducido por la normativa europea en una empresa conlleva una estrecha colaboración tanto legal como tecnológica.

Es necesario acometer un estudio individual de la organización a través de una consultoría previa, la elaboración de un análisis de riesgos y, en ocasiones, evaluaciones de impacto, con el fin de detectar posibles riesgos potenciales a la hora de llevar a cabo el proceso de recopilación, tratamiento y almacenamiento de los datos personales.

Con las conclusiones obtenidas, se confeccionaría el programa de cumplimiento que nos traslada ya a una segunda fase más tecnológica, en la que se llevaría a cabo el desarrollo e implementación de las medidas técnicas y organizativas necesarias para mitigar o prevenir estos posibles riesgos. Todo ello de manera proactiva y con una constante evaluación y revisión de las medidas implementadas, con el fin de crear un sistema de compliance eficaz, principio fundamental de la normativa.

En Leasba contamos con un departamento propio especializado en derecho de las nuevas tecnologías, integrado por profesionales expertos, entre otros servicios, en implantaciones y adecuaciones del RGPD. Combinar tecnología y legalidad nos permite ofrecer una correcta y completa implementación de la normativa. Si todavía no te has adaptado y buscas asistencia con experiencia, nosotros te ayudamos.

Síguenos en Linkedln para estar al tanto de las últimas novedades en tecnología y derecho tecnológico.

También publicada en Medium.