Desde la Agencia Española de Protección de Datos (AEPD) se ha alertado a todas las pequeñas empresas y autónomos (siendo ellos los objetivos habituales de estas acciones) de los riesgos de contratar los servicios de adecuación a la normativa de protección de datos a empresas que ofrecen esta adaptación a ‘coste cero’.

Lo primero de todo es entender que es el “Coste Cero”: Se trata de ofertar servicios a un precio muy bajo o de forma gratuita, abonando los mismos mediante fondos destinados a formación para trabajadores (las conocidas bonificaciones de la Seguridad Social - Tripartita).

Se debe tener en cuenta que la adaptación a la normativa de protección de datos, ya sea para autónomos, pymes, comunidades de vecinos...debe ser real y ajustada a la casuística actual del negocio, y para ello es totalmente necesario un análisis personalizado de la organización teniendo en cuenta desde los tipos de tratamientos que se realizan, pasando por los sistemas informáticos, el personal autorizado o con acceso a información sensible y los sistemas de gestión documental; llegando hasta a la creación de planes de formación específicos para los trabajadores, entre otros muchos aspectos a tener en cuenta en función de los tratamientos y actividades de los profesionales.

La AEPD ha redactado en colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, una serie de recomendaciones para evitar ser víctimas de este fraude:

• Es necesario un estudio pormenorizado de la empresa para la correcta adecuación, es insuficiente un asesoramiento que no tengan en cuenta las características específicas de la actividad.

• No caer en el "juego del miedo" que este tipo de empresas comienzan, utilizando las sanciones como arma de carga. En muchas ocasiones se hacen pasar por la propia Agencia de Protección de Datos, llevan a cabo prácticas comerciales desleales y agresivas en las que coartan el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos. Para ello, en algunas ocasiones, llegan a emplear el logotipo de la AEPD o de entidades de certificación acreditadas para hacer creer que cuentan con el aval de organismos públicos; o simplemente se identifican como empresas de formación avaladas por la AEPD ofertando cursos de formación obligatorios por la Agencia Estatal de Protección de Datos.

• Otra de sus tácticas es ofrecer una documentación por la que se pretenda crear una apariencia de cumplimiento de la normativa de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar dicho cumplimiento. En estos casos, los afectados podrán ejercer acciones ante los juzgados de lo mercantil o denunciarlo ante la Comisión Nacional de los Mercados y de la Competencia si se vulnera la Ley de Defensa de la Competencia

¡OJO! La contratación de estos servicios que con fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, ofrecen la adecuación a la normativa de protección de datos, puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.

¡OJO! La contratación de este tipo de servicios a "Coste Cero" a través de la contratación de cursos de Formación Bonificados por la Seguridad Social, no solo podría traer repercusiones con la Inspección de Trabajo y Seguridad Social, la Agencia Tributaría también pone la lupa sobre ello. El cumplimiento de obligaciones tributarias por parte de las empresas, tanto de quien oferta el servicio como de quien lo contrata, sobre las actividades formativas destinadas a los trabajadores están exentas de tributación por el IVA, mientras que el tipo impositivo a aplicar al servicio de adecuación sería del 21%. De enmascararse el servicio, haciéndole pasar como acciones de formación bonificada,  se trataría de una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.

• Este tipo de empresas además hace ver como necesario para la adecuación disponer de un DPO (Delegado de Protección de Datos), informan sobre la imposición de tener todas las empresas y autónomos esta figura, cuando es un elemento no obligatorio. Según el art. 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

ñ) Las empresas de seguridad privada.

o) Las federaciones deportivas cuando traten datos de menores de edad.

Los responsables o encargados del tratamiento no incluidos en la enumeración anterior podrán designar de manera voluntaria un delegado de protección de datos, repetimos de forma VOLUNTARIA.