A la hora de adaptarse a la normativa de protección de datos, es habitual dar prioridad a la reducción de costes antes que al cumplimiento efectivo y fiel a dicha normativa. En otras palabras, se suele tender a ofertas de adaptación que resulten lo más baratas posibles, sin tener en cuenta si dichas ofertas son o no fiables desde el punto de vista del RGPD y de la LOPD-GDD.
Pues bien, recientemente la Agencia Española de Protección de Datos (AEPD) ha emitido una comunicación en la que resuelve las dudas al respecto. Y las resuelve de forma tajante: las empresas deben desconfiar de ofertas sospechosamente baratas.
En su comunicación (cuyo texto puede leerse aquí), la AEPD dice que muchas veces estas ofertas están vinculadas a prácticas fiscales fraudulentas, que a la postre pueden acabar con sanciones en el orden tributario para quienes las lleven a cabo. Todo ello por no mencionar, claro está, las sanciones que quepa imponer por no estar cumpliendo en realidad con las exigencias legales en materia de protección de datos.
La comunicación va acompañada de un documento informativo (descargable aquí) en el que se detalla en qué consiste este tipo de prácticas y cómo identificarlas. Y creemos oportuno traer a colación uno de sus párrafos:
«Un servicio de adecuación a una normativa específica requiere, para obtener un resultado correcto, un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, además de un programa formativo para los empleados de la entidad» (todos los resaltados son nuestros).
En otras palabras, lo que viene a decir la AEPD es que realizar una adaptación fiable a la normativa de protección de datos no es algo que se pueda hacer en cinco minutos o con documentos pregenerados. Hará falta que personal cualificado estudie cómo se realiza cada tratamiento de datos en todas sus ramificaciones técnicas y organizativas, para garantizar que las mismas sean legalmente aceptables.
Es decir, algo que no se puede llevar a cabo a precios irrisorios. Porque hacer un buen trabajo cuesta más que eso.
Pero no es la única guía que nos ofrece la AEPD para determinar si la oferta que nos han pasado ofrece una mínima credibilidad. De hecho, en su documento la Agencia nos da otra pista para identificar prácticas fraudulentas:
«Cumplimiento de forma, pero no de fondo.
Se oferta la “Adecuación a la normativa de protección de datos” pero, en algunos casos, la pretendida adecuación puede estar realizándose entregando al cliente unos formularios ya cumplimentados con los que supuestamente pueda “cumplir el expediente”.
Hay que subrayar que el cumplimiento del RGPD y de la LOPDPGDD no consiste en un cumplimiento meramente formal, sino que implica revisar, diseñar y aplicar los principios de protección de datos a las circunstancias específicas de cada empresa. El incumplimiento de la normativa de protección de datos por parte del responsable o del encargado del tratamiento constituye una infracción, por la cual la AEPD podría instruir el oportuno procedimiento sancionador y llegar a imponer una sanción«.
Por lo tanto, también deberían desconfiar de las ofertas que se basen únicamente en entregar documentación -como si eso fuera suficiente-, y no en el hecho de que cada organización tiene una estructura de tratamiento de datos diferente, que debería ser estudiada de forma diferenciada y única.
También nos dice la AEPD que debemos considerar sospechosas las ofertas que pretendan una supuesta «adaptación» al RGPD haciendo uso de los fondos de empresa destinados a la formación del personal. Ello no solo no sería una adaptación suficiente a los requisitos de la normativa aplicable, sino que además -como se ha adelantado- podría ser sancionable en el orden tributario. Con lo que el supuesto «ahorro» en realidad se convertiría en una o varias sanciones.
Desde AUREN solo podemos pedirle que use el sentido común. Si una teórica adaptación tiene un precio demasiado bueno para ser cierto… quizá es porque no sea cierto, sino que se trate de una oferta basada en mentiras. O directamente en graves vulneraciones legales.
Para cualquier duda que tenga(n) sobre esta materia, como siempre, le(s) ofrecemos contactar con nosotros. Estaremos encantados de asesorarle.
Fabián Plaza Miranda, Auren Abogados y asesores Fiscales