La normativa de protección de datos ya ha cumplido más de un año. Todavía, a día de hoy, hay muchos negocios que no la han adaptado, a pesar de que el período de implantación se generó de 2016 a 2018. Por ello, son comunes las contrataciones de los servicios de adecuación a coste cero, lo cual genera una serie de riesgos graves que pueden acabar con un negocio, según la propia AEPD.
Qué son los servicios de adecuación a coste cero
La adecuación al RGPD a coste cero en un negocio es una oferta muy común en Internet que en la realidad, viene financiada con cargo a fondos públicos. Dicha financiación se da mediante bonificaciones de la Seguridad Social en concepto de formación de trabajadores.
La AEPD ha alertado recientemente, en una nota de prensa, de que este tipo de adaptación puede derivar en infracciones que se sancionan por la Inspección de Trabajo y de Seguridad Social. Las multas a causa de servicios a costes muy bajos, pueden ir de 600 a casi los 190 000 euros, tanto para quien los oferta como para quien los contrata.
Sobre todo, la multa mencionada se debe al incumplimiento de obligaciones tributarias. La razón es que los fondos de adecuación de un negocio se destinan como «actividades formativas para los trabajadores», las cuales estarían exentas de IVA sobre el papel.
No obstante, en realidad la adecuación a una legislación tiene un tipo del 21 %, que es por tanto el tipo que le correspondería a los servicios de adecuación de un negocio al RGPD, el cual no podría ser gratuito. Enmascarar estos servicios a coste cero alegando que son prácticas para los trabajadores, tienen una multa proporcional que va del 50 % en adelante sobre la cuantía que no ha sido ingresada.
También, en este sentido, se ha advertido tanto a autónomos como a pymes. La adaptación de un negocio al RGPD requiere un estudio previo de la entidad y de las actividades que se realizan. Así, se conocerá el tipo de tratamiento que se realiza, de qué sistemas de gestión documental o informáticos se disponen, entre otros aspectos.
Por tanto, un servicio a coste cero es un asesoramiento genérico que no tiene en cuenta ninguna característica del negocio y que genera graves riesgos en dos sentidos: para las personas físicas que ceden sus datos y que verían vulnerado su derecho constitucional, y para el negocio, por el riesgo de recibir graves sanciones.
Riesgos de la adaptación del RGPD a coste muy bajo según la AEPD
Hay diferentes claves a tener en cuenta para la adaptación de un negocio. En primer lugar, se deberá haber realizado un registro de tratamientos y un análisis de riesgo. El primer peligro se produce en el aspecto del tratamiento de datos.
El tratamiento de datos es importante de cara a la adecuación del RGPD, ya que el nivel de seguridad dependerá de si se tratan o no datos a gran escala y de qué tipo de datos se están manejando: de especial protección, como los de salud, o si no requieren tanta seguridad.
La política de gestión del negocio debe ser responsable. Por tanto, también en base a los aspectos del tratamiento de datos que se han señalado en el párrafo anterior, se estudiará si es necesario un Delegado de Protección de Datos (DPO).
Se analizará el impacto de los datos y de ser necesario, se cambiará la manera de trabajar, así como se modificará el nivel de seguridad. Una de las prácticas más comunes y fraudulentas es hacer creer a autónomos y pymes que el DPO es obligatorio.
Al existir tantos aspectos importantes a tener en cuenta para adaptar un negocio, es imposible que una gran empresa, pyme o el negocio concreto de un autónomo se pueda adaptar de manera genérica. Es por esta razón por la que la AEPD ha publicado recientemente una nota de prensa en la que también se advierte que las pymes y autónomos suelen constituir el mayor porcentaje de víctimas de estas acciones fraudulentas.
Confiar en un servicio de adecuación a coste muy bajo o a coste cero produce también otro riesgo para el negocio: que las personas físicas acudan a los tribunales por la vía penal. Además de verse sometido el negocio a graves sanciones, de producirse efectivamente alguna vulneración en la protección de los datos de las personas físicas, dichas personas podrían exigir responsabilidades penales.
La normativa de protección de datos se ha actualizado con la entrada en vigor de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Según el negocio específico y el tratamiento de datos que este requiera la implantación es diferente. Por eso es conveniente contratar a verdaderos expertos en protección de datos evitando un servicio a coste muy bajo que acabe traduciéndose en riesgos para las personas físicas y en consecuencia, en sanciones graves.
