…del temor de las empresas a ser sancionadas por no cumplir con las políticas de protección de datos
Falsos asesores se aprovechan del temor de las empresas a ser sancionadas por no cumplir con las políticas de protección de datos y les ofrecen auditorías que no cumplen con los mínimos legales.
El miedo a ser sancionadas por no cumplir con la normativa sobre protección de datos lleva a muchas empresas, sobre todo pymes, a confiar en supuestos asesoramientos que les permitan cubrir el expediente y que, con frecuencia, son ofrecidos por oportunistas que aprovechan la ocasión para hacer negocio.
Muchas veces, las empresas no son conscientes de que este tipo de servicios no las libran de ser objeto de las cuantiosas multas que impone la Agencia Española de Protección de Datos (AEPD), que pueden llegar a los 600.000 euros, y que el nuevo reglamento de la UE propone fijar en hasta un 4% de la facturación para los infractores.
Lo que hay que tener en cuenta
- Las sanciones pueden alcanzar los 600.000 euros y el nuevo reglamento de la UE, pendiente de aprobación, plantea fijarlas en hasta el 4% de la facturación.
- Para evitar multas, las auditorías deben cumplir con unos mínimos estándares de calidad.
- Es necesario el asesoramiento de un profesional especializado y certificado en privacidad y protección de datos.
La última modalidad de estas asesorías de dudosa legalidad es la auditoría telefónica, que hace creer a los empresarios que con una simple llamada es suficiente para cumplir con la exigente Ley Orgánica de Protección de Datos (LOPD). En una reciente (y escueta) nota informativa, la Agencia señala que “ha tenido conocimiento de que diversas entidades envían comunicaciones a organizaciones y empresas responsables de ficheros obligadas a adoptar medidas de seguridad de nivel medio y/o alto en las que ofrecen sus servicios para realizar auditorías de seguridad por vía telefónica con el fin de examinar el cumplimiento de la legislación de protección de datos”. Según recoge la AEPD, dichas comunicaciones llegan a afirmar que “esta práctica permite certificar la idoneidad de las medidas de seguridad de nivel medio y/o alto en los sistemas de información e instalaciones de tratamiento y almacenamiento de datos”.
La Agencia censura estas afirmaciones y, con el fin de advertir a los responsables de ficheros, aclara que “una oferta que incluye una auditoría telefónica de medidas de seguridad no permitiría obtener los resultados establecidos en la normativa de protección de datos”. Y continúa señalando que “el concepto de auditoría de los ficheros de seguridad de nivel medio y/o alto implica necesariamente la realización de comprobaciones en los sistemas de información auditados, algo que no es posible llevar a cabo por vía telefónica”.
Dudosa legalidad
Este tipo de actuaciones de dudosa legalidad no son nuevas. Hace años se denunció también una práctica consistente en la extorsión a pymes advirtiéndolas de que serían denunciadas ante la AEPD en caso de no contratar sus servicios de asesoramiento. El modus operandi pasaba por buscar empresas que no tuvieran inscritos sus ficheros de acuerdo a la ley para ofrecerles sus servicios con la amenaza de ser denunciados en caso de no contratarlos.
Otra actuación irregular es la denominada “LOPD a coste cero”, que consiste en prestar asesoramiento para cumplir con la ley, facturándolo como formación con cargo a los fondos que gestiona la Fundación Tripartita, algo que ya está siendo perseguido por esta institución, que ha advertido a las empresas de que “deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo” que, de hecho, ya ha impuesto sanciones en este sentido.
Aceptar este tipo de prácticas no sólo no sirve para evitar multas de la Agencia sino que, además, puede generar problemas añadidos para las empresas que lo acepten, ya que la responsabilidad del fraude recae tanto sobre quien lo promueve como sobre el cliente que decide cargarlo a los fondos de formación.
También hay consultoras que emiten su propio sello o certificado de cumplimiento al contratar sus servicios, haciendo creer a las empresas que con ello ya quedan protegidas ante cualquier inspección, cuando, en realidad, no pueden garantizarlo.
Según explica Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad, entidad que ha denunciado muchos de estos casos, el problema de fondo es que “se está banalizando el asesoramiento en materia de protección de datos como si una auditoría de seguridad pudiera hacerla cualquiera”. Lo que venden este tipo de asesorías, explica, es que “basta con inscribir un conjunto de ficheros, más ficticios que reales, y diseñar las políticas de cumplimiento sin ni siquiera conocer la realidad de la empresa”.
Consejos para un buen cumplimiento
Desde la Asociación Profesional Española de Privacidad (APEP) recuerdan a las empresas que cumplir con la ley requiere, además del trabajo del consultor, también la “implicación del cliente“, y apuntan que “el cumplimiento no es algo puntual, sino que la normativa exige mantenerlo en el tiempo”. Además, “un asesoramiento adecuado debe incorporar un capítulo de formación y concienciación al personal”. Asimismo advierten de que “la aplicación de la Ley de Protección de Datos nunca es teórica, por lo que no existen recetas de ‘copiar-pegar’, no basta con marcar cruces en un formulario, sino que debe adaptarse a la realidad específica de la organización”. También recalcan que conviene exigir al consultor una formación específica.
Deja un comentario