Un buen servicio de Protección de Datos, 13 consejos clave.

Ojo con las empresas de prevención de riesgos laborales metidas a “especialistas en protección de datos”

Hoy os traemos un artículo con el que queremos daros 13  Consejos para tener buen servicio de Protección de Datos, que os ofrezca todas las garantías y que de verdad os asesore y gestione un efectivo cumplimiento tanto de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales como del Reglamento General de Protección de Datos .

Según hemos podido comprobar, a raíz del boom del Reglamento General de Protección de Datos, algunos servicios de prevención de riesgos están ofreciendo a sus clientes servicios de adaptación y consultoría desde 150€, apelando sobre todo al riesgo de sanciones, lo cual atenta claramente contra la disposición adicional decimosexta de la nueva Ley de Protección de Datos y Garantía de Derechos Digitales 2018, con respecto a prácticas agresivas apelando al miedo y dando la impresión de cumplimiento, en especial a estos puntos:

“c) Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.”

En este tipo de prácticas el argumento principal es el miedo, los comerciales de estas entidades apelan sistemáticamente a las sanciones. Más grave aún, son los engaños y artimañas que utilizan, con comentarios como decirle a la empresa que “no necesitan prácticamente nada”, que “es muy fácil, por eso le cobramos tan poco“ o que “esto se hace una vez y ya no tendrá que hacer nada más”, etc. Sin embargo, esto no es así y puede ocasionar graves problemas a los clientes, ya que la gestión de la protección de datos ha cambiado, ahora se entiende como una gestión de los riesgos que sus tratamientos puedan generar y cada empresa tiene que estar en disposición de demostrar de forma continua que protege los datos que maneja de una forma efectiva, continua y proactiva.

Buscar en: https://boe.es/buscar/act.php?id=BOE-A-2018-16673

Petición de presupuesto

Hicimos la prueba y le solicitamos un presupuesto a una de estas empresas, de forma que pudimos comprobar este tipo de prácticas que os comentamos. En primer lugar, hemos constatado que te envían un correo electrónico con enlace a un formulario de Google Form, para que le des los datos para realizar un presupuesto (sin conocerte, ni visitarte ni nada de nada).

Entre otros detalles del presupuesto, nos llamaron la atención los siguientes, ya que antes de empezar ya están incurriendo en varias irregularidades. 

• Hablan de adaptación al RGPD (no saben que existe la nueva LOPDGDD 3/2018)
• Plantillas rellenables, (una chapuza), nos hemos llegado a encontrar los documentos con puntitos para que el propietario los rellenara todos. Por supuesto, hay documentación necesaria que ni verifican ni entregan, dando la falsa apariencia de cumplimento, justo lo que sanciona la Ley.
• El servicio es a distancia, no es presencial, es decir que sin visitar la empresa, ni las instalaciones, sin hablar con los trabajadores y departamentos para saber cómo tratan los datos, qué datos tratan, etc,. ya saben todo lo necesario para realizar un “buen servicio de Protección de Datos”.
• Fuera de presupuesto veladamente, también ofertan formación bonificada, formación generalista. Para bordear la legalidad, que en mi opinión no lo hacen, necesitan una factura de consultoría y otra diferente de formación, al final realmente le están ofreciendo los servicios por un importe mucho más alto, pero al cliente se lo venden por un precio mínimo, porque el resto lo bonifican.
• Además esa formación la venden sin IVA 21%, que es otra irregularidad, ya que la formación on-line en un 95% se considera un servicio profesional afecto al 21% de IVA.

Como veréis, este es un esquema, que unos utilizan más o menos descaradamente, pero que es una práctica más habitual de lo que podríamos pensar. Esto no quiere decir que todas las empresas sean iguales, por supuesto, pero sí que hay que tener cuidado a la hora de elegir un buen servicio de protección de datos.

Desde hace ya algún tiempo tanto la Fundación Estatal, como la Agencia Española de Protección de Datos, han habilitado un canal de denuncia para estos temas y persiguen este tipo de prácticas.

Ojo con estas prácticas porque el problema no es que estas empresas vendan productos de consultoría manifiestamente deficientes, es que pueden perjudicar gravemente a sus clientes. Para que sepáis de forma general qué elementos tener en cuenta, aquí os dejamos nuestros 13 Consejos para tener un buen servicio de Protección de Datos.

13 Consejos para no caer en la trampa de estas empresas y tener un buen servicio de Protección de Datos:

• No fiarse del que quiera venderle cualquier producto apelando a su miedo a ser sancionado.
• No permitir que le realicen el trabajo de forma telefónica. Sin duda hay que visitar personalmente la empresa para conocer cómo trabaja, cuál es su entorno, qué necesidades tiene, etc.
• No acepte que le den ningún documento que usted tenga que rellenar, tipo plantillas.
• Exija asesoramiento continuo durante todo el año.
• No acepte ofertas a coste cero o a un coste ridículo. Está perseguido por la Ley y puede ser usted sancionado, y además no podrá bonificar la acción formativa.
• Con la realización de un curso no cumple ninguna normativa, ni cumple con la protección de datos. Si quiere formar a sus trabajadores, realice un plan de formación y concienciación en materia de seguridad y privacidad. Vea los contenidos del curso antes de contratar cualquier acción formativa. No es obligatorio realizar formación.
• Desconfíe de quién le dé un precio sin realizar un estudio previo, visitar sus instalaciones, entrevistarse con usted, etc. Esto no es café para todos, cada empresa u organización parte de una situación diferente y por lo tanto tienen necesidades diferentes.
• Infórmese de la experiencia y solvencia de la empresa que le ofrece el servicio. Hay mucho listo, como en todos los sectores. Elija asesores especializados, el de prevención de riesgos laborales sabrá de prevención pero poco de protección de datos.
• Utilice el sentido común, en protección de datos se cumple el dicho de “lo barato es caro” ¿Realmente cree que por 80/150€ o poco más, va a tener a su disposición alguna empresa o asesor serio? Valore su propio trabajo y su tiempo.
• Exija que le expliquen todo el proceso de adecuación, calendario de visitas, etc.
• No se deje engañar si le dicen que necesita un Delegado de Protección de Datos. Aunque hay sectores en los que puede ser obligatorio, en la mayoría de las ocasiones no lo es y tampoco lo necesitará.
• Desconfíe de aquel que le diga que con los papeles que le entregan ya está todo hecho. La protección de datos se entiende como una gestión de los riesgos  que sus tratamientos puedan generar, se trata de una gestión continua y proactiva. Usted debe de  demostrar  la seguridad, privacidad  y disponibilidad de los datos que maneja y esto no se demuestra sólo con papeles. Ahora las obligaciones informativas son mayores, ¿realmente conoce la base legal por la que puede utilizar datos personales? ¿Sabe si realiza transferencias internacionales? ¿Cuáles son las medidas de seguridad que ha implantado? ¿Son las adecuadas para su empresa? ¿Sabe si sus proveedores de servicio cumplen con la normativa y se lo han acreditado documentalmente?
• La adaptación a la normativa de protección de datos es para toda la empresa, su web también hay tratamientos de su empresa. Exija que esos servicios estén incluidos en la oferta que le presenten, muchos los cobran aparte.