En este artículo vamos a tratar de dar respuesta a una consulta que nos hacéis habitualmente, para ello vamos a hacer mención a una publicación realizada por la agencia española de protección de datos el Pasado julio del 2019 y titulado
Índice
¿QUÉ ES EL DENOMINADO «COSTE CERO»?
Resumiendo, para no extendernos demasiado, el denominado coste cero es la práctica de realizar la protección de datos a bajo coste o incluso a coste cero.
¿Cuál es el problema de esta práctica?
Pues el problema reside en que este tipo de servicios están diseñados para simplemente “cumplir con el expediente” sin profundizar, ni adaptar las medidas técnicas y organizativas necesarias para que una organización cumpla correctamente con lo dispuesto en el reglamento europeo, desde el diseño, es por ello que pueden tener un bajo coste o incluso un coste cero ya que viene a ser el equivalente a un corta pega de un texto genérico.
¿Y cómo podemos detectar este tipo de prácticas?
Vamos a enumerar varios casos no siendo determinantes ya que, en algunos de ellos, si existen profesionales que realizan el trabajo con profesionalidad.
Estas practicas nos deberían de alertar.
- Empresas que envían toda la información por correo electrónico y ni llegamos a verlos personalmente.
- Empresas que como única documentación nos dejan un diploma o certificado que anuncia que cumplimos con la protección de datos, sin que sepamos o nos hayan informado de que operaciónes han realizado.
- Empresas que nos dejan una carpeta muy voluminosa con información excesiva y muy genérica y de la cual únicamente sabemos que tenemos una carpeta que pone protección de datos.
- Empresas que nos dejan una carpeta en la que no hay absolutamente nada dentro, simplemente separadores, pero contienen un diploma que nos anuncia que cumplimos con la ley de protección de datos y/o un diploma que nos anuncia que la empresa dispone de un seguro de responsabilidad civil.
El seguro de responsabilidad civil” está muy bien que lo tenga la empresa por si realiza una mala práctica o se da una circunstancia extraordinaria, pero tenemos que tener en cuenta que muy difícilmente nos van a cubrir a nosotros por no tener aplicada correctamente la protección de datos ya que la empresa que nos facilita la información siempre se va a cubrir Las espaldas indicando que ellos han facilitado la información y las herramientas para poder cumplir con lo dispuesto en la normativa, al respecto la ley es clara y concisa el único responsable de cumplir con lo dispuesto en el reglamento general de protección de datos es el “Responsable del tratamiento”.
- Empresas que hacen prácticas comerciales agresivas, desde llamadas de Teléfono hasta propios comerciales que se personan en nuestros establecimientos y oficinas indicando que:
- Han detectado que no cumplimos con la ley de protección o que no la tenemos correctamente.
La administración pública ni ninguna empresa privada puede saber de forma telemática si cumplimos o no con lo dispuesto en el reglamento general de protección de datos, la única forma en la que pueden confirmarlo es revisar el registro de actividad que tiene que estar documentada en la empresa.
- Amenazan e infunden miedo con sanciones muy elevadas o denuncias, inspecciones etc.
- Se presentan como colaboradoras de la AEPD o que trabajan en su nombre y en su página web o en su documentación incluyen los logos oficiales de la AEPD.
Esta práctica está terminantemente prohibida y empresas privadas no colaboran con la agencia española de protección de datos o cualquier otra autoridad de control.
- vender servicios que sean innecesarios para el tratamiento de datos personales de la empresa, como podrían ser el servicio de delegado de protección de datos DPO y el servicio de EIPD evaluación de impacto de protección de datos.
En ambos casos debe de estar justificado por la ley y la necesidad de realizar tanto una evaluación de impacto y el porqué la empresa requiere de un delegado de protección de datos y en el caso de delegado de protección de datos, se debe de dar de alta en la agencia española de protección de datos y justificar el vínculo que tiene con la empresa, la designación de DPD por parte del responsable o encargado de tratamiento y en base a la experiencia formación etc… que lo justifican
- Empresas que utilizan fondos públicos destinados a la formación de personal para financiar la protección de datos, estas son empresas que nos ofrecen cursos de muy baja calidad y nos regalan a cambio la protección de datos de la empresa, esta práctica que no solo incurre en una ilegalidad por parte de la empresa que realiza los cursos sino que nos hace a nosotros incurrir en una ilegalidad al aceptar esta práctica puesto que está considerado como un fraude a la Seguridad Social y a la agencia tributaria. VER DOCUMENTO DE LA AEPD
Dicho esto, y en el otro extremo existe un sinfín de empresas y de profesionales muy responsables y comprometidos con su trabajo, el detectar estas prácticas deshonestas va hacer por otro lado que podáis poner en valor el trabajo y la profesionalidad que realizan las empresas que quieren prestar un servicio real genuino y profesional.
Video en YouTube
En CEMEBAL SOLUTIONS somos expertos en dar soluciones globales para la implantación del RGPD y la LSSI, a todo tipo de empresas en las Islas Baleares.
Si necesitas información sobre nuestros servicios, estaremos encantados de ayudarte.
Puedes contactar con nosotros llamando al teléfono:
Tef. +34 971 912 723
Si lo prefieres, también puedes enviarnos un correo