LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS ALERTA A PEQUEÑAS Y MEDIANAS EMPRESAS DE LOS RIESGOS DE CONTRATAR SERVICIOS DE ADECUACIÓN A LA NORMATIVA A “COSTE CERO”
La AEPD ha publicado un documento en el que informa a pequeñas y medianas empresas, así como a personas autónomas del riesgo que conlleva contratar servicios de adecuación a la nueva normativa de Protección de Datos a empresas que la ofrecen a coste “cero”.
Dicho documento recoge prácticas fraudulentas que están asociadas a este tipo de servicios.
La adecuación a la normativa de Protección de Datos, conocida como “Coste Cero”, oferta estos servicios a un precio muy bajo o incluso de forma gratuita, abonando el pago de éstos mediante los fondos de la empresa, los cuales están destinados a los programas de formación para trabajadores, que son objeto de bonificación de la Seguridad Social.
La AEPD advierte a pymes y autónomos, destinatarios de este tipo de prácticas, que los servicios de adecuación a la normativa requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y sistemas de gestión documental, por ello se han de aplicar los principios de protección de datos en los procedimientos.
La contratación del servicio de adecuación a la normativa de protección de datos a coste cero – financiada con cargo a fondos públicos mediante bonificaciones en las cuotas a la Seguridad Social, para el empleo, puede derivar en infracciones que se sancionarán por la Inspección de Trabajo y Seguridad Social, con multas de 626 € a 187.515 €.
En relación al cumplimiento de obligaciones tributarias, por parte de las empresas – tanto de quien oferta el servicio como de quien lo contrata – las actividades formativas destinadas a los trabajadores están exentas de tributación por el IVA, mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21%.
De enmascararse el servicio, realmente llevado a cabo, se podría estar cometiendo una infracción tributaria sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.
La Agencia recomienda la conveniencia que las tanto las pequeñas y medianas empresas, así como los autónomos que quieran o contraten servicios, adecuados a la normativa de protección de datos, se aseguren que los servicios que los ofrecen no incurran en prácticas aludidas anteriormente.
Respecto al ámbito de actuación de la AEPD, hay diversos canales de información a los responsables (CANAL INFORMA) y a los ciudadanos (Atención al Ciudadano) y una herramienta gratuita de ayuda (FACILITA _ RGPD) dirigida a empresas que realicen un tratamiento de datos personales de escaso riesgo.
REFERENCIAS: PRENSA Y COMUNICACIÓN https://www.aepd.es/prensa/2019-07-04.html
LA AEPD PUBLICA EL LISTADO DE TRATAMIENTOS EN LOS QUE NO ES NECESARIO REALIZAR UNA EVALUACIÓN DE IMPACTO.
La Agencia Española de Protección de Datos ha publicado, recientemente, el listado de tratamiento de datos de carácter personal en los que no es vinculante la realización de una evaluación de impacto, con el fin de facilitar a los responsables la identificación de este tipo de tratamiento.
El RGPD (Reglamento General de Protección de Datos) recoge en su artículo 35, párrafo 1º concretamente, que las organizaciones que traten datos están obligadas a realizar una Evaluación de Impacto relativa a la Protección de Datos, antes de realizar dicho tratamiento/s cuando, en función de su naturaleza, alcance un riesgo para los Derechos y Libertades de las personas.
De los Derechos y Deberes fundamentales de la Constitución Española, pues guarda relación con el artículo 18 de la misma.
Por otro lado, el párrafo 5 del artículo 35 de dicho Reglamento establece que las autoridades de control podrán publicar la lista de los tipos de tratamiento que no requieren una evaluación de impacto.
Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe dicho tratamiento y mayor será la certeza de la necesidad de realizar una EIPD.
La Agencia de Protección de Datos ha comunicado al Comité Europeo (CEPD) el listado, el cual está también disponible en la lengua anglosajona.
Dicho listado no exime de cumplir el resto de obligaciones establecidas en la normativa de protección de datos y, asimismo, complementa a la publicada con anterioridad por la Agencia donde figuran aquellos tratamientos en los que sí es vinculante – de obligatorio cumplimiento – el resto de obligaciones establecidas en la normativa de protección de datos, complementa a la publicada con anterioridad por la Agencia donde figuran aquellos tratamientos en los que sí que se requiere la obligatoriedad de llevar a cabo una Evaluación de Impacto de Protección de Datos.
REFERENCIAS: PRENSA Y COMUNICACIÓN https://www.aepd.es/prensa/2019-09-04.html#
