Lunes, 27 enero 2020

Día de la Protección de Datos: cómo combatir el fraude del ‘Coste 0’, que afecta a muchas empresas

Este martes 28 de enero se conmemora el Día Internacional de la Protección de Datos. Es un tema que afecta directamente a los ciudadanos, las instituciones y las empresas. La privacidad, la confidencialidad y el ‘blindaje’ de nuestra información, en plena revolución digital, representan cuestiones muy sensibles para todos.

La nueva legislación europea en materia de Protección de Datos entró en vigor el 25 de mayo de 2018. Desde esa fecha, ha modificado positivamente muchos aspectos para personas, organismos y compañías. Pero aún quedan retos muy importantes por atender. Por ejemplo, un fraude que afecta principalmente a miles de pymes y autónomos en España: se le conoce como fraude del ‘Coste 0’.

foto-internet-psicologia-unir

¿Y en qué consiste realmente? Es una práctica fraudulenta cometida por supuestas consultoras especializadas, que ofrecen asesoramiento a empresas y autónomos para que se adecuen a la normativa actual de protección de datos. Lo hacen de manera (supuestamente) ‘gratuita’ o a muy bajo precio (de ahí su referencia coloquial del ‘coste 0’ o, traducido, muy barata y sin garantías). “Normalmente, lo barato sale caro, ya que ofrece escasa o nula calidad”, explica Eduard Chaveli, CEO de GOVERTIS (empresa especializada en cumplimiento normativo y seguridad en protección de datos).

El experto en la materia además ejerce -entre otras actividades- la docencia en el Máster en Seguridad Informática online de UNIR. En la siguiente entrevista explica en detalle las características de este tipo de acciones, y también aborda otros conceptos muy significativos sobre la protección de datos.

Un negocio fraudulento

–¿Cómo es el ‘negocio’ fraudulento que hacen las consultoras sobre la adecuación a la Ley de protección de datos, supuestamente a ‘coste 0’?

–Determinadas consultoras utilizan los fondos que las empresas tienen destinados a la formación (fondos de la Fundación Tripartita) para realizar “consultoría” gratuita y, casi siempre, de mala calidad sobre protección de datos. Es decir, cobran dinero que en realidad las empresas deberían destinar a cursos de formación de empleados, y a cambio ofrecen adecuación a la Ley de protección de datos por montos muy bajos o gratis.

Un servicio de adecuación a una normativa de protección de datos requiere, para obtener un resultado correcto, un estudio individual y pormenorizado de cada entidad”

Como bien señala la AEPD (Asociación Española de Protección de Datos), “un servicio de adecuación a una normativa de protección de datos requiere, para obtener un resultado correcto, un estudio individual y pormenorizado de cada entidad”, cosa que esas consultoras no realizan. También los clientes deben recibir un tratamiento individualizado respecto de los tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, además de un programa formativo para los empleados de cada entidad. Pero eso, en los casos del ‘Coste 0’, es algo inexistente.

bigdata4

–¿Cómo impacta negativamente este tipo de actividades?

–Resulta fundamental la concienciación de las personas en este ámbito, y un cambio de visión de la protección de datos por parte de las organizaciones. Las prácticas fraudulentas ‘fomentan’ en muchos la idea de que la adecuación a la Ley de Protección de Datos es una carga sin valor, en vez de convertirse en una marca de calidad.

Tanto las consultoras que realizan estas prácticas como las empresas que contratan deberían cesar inmediatamente dichas actividades, pues provocan un daño muy importante a la protección de datos. Particularmente creo que las compañías que reciben estos servicios deberían tomar consciencia de los riesgos que asumen. No sólo por las posibles infracciones en estos ámbitos, sino también por los problemas que ello puede generarles en materia de protección de datos.

Desde entidades como la Asociación Profesional Española de Privacidad (APEP), a la que pertenezco desde hace años, se lucha contra esta práctica, pero desgraciadamente continúa.

Los sectores más afectados

–¿Qué sectores son los más afectados por estas prácticas fraudulentas?

Estas prácticas se dirigen fundamentalmente hacia las pymes y autónomos, empleando para ello el temor a las posibles sanciones establecidas en la legislación sobre Protección de Datos.

Se oferta la ‘Adecuación a la normativa de protección de datos’ pero, en ocasiones, la pretendida adecuación puede consistir en entregar formularios ya cumplimentados sin realizar un trabajo de análisis y adecuación ajustado a la realidad de cada cliente.

–¿Qué tipo de infracciones supone el citado fraude del ‘Coste 0’?

–Dicha actividad conlleva infracciones en diferentes ámbitos, entre otros:

1-Por un lado, la indebida utilización de fondos destinados a programas de formación puede suponer sanciones por parte de la Inspección de Trabajo y Seguridad Social.

bigdata3

2-Asimismo, se suelen cometer prácticas de publicidad engañosa, por ejemplo intentar hacer creer la obligatoriedad del Delegado de Protección de Datos en supuestos en los que claramente no lo es. Ello es diferente a considerar que en muchos supuestos no exigibles sea conveniente. También en ocasiones algunas de estas consultoras emplean signos institucionales (como por ejemplo, el logotipo de la AEPD) para hacer creer que cuentan con su aval. Se trata de prácticas que pueden ser sancionadas por la Comisión Nacional de los Mercados y de la Competencia y también por los tribunales.

3-Una infracción tributaria, dado que la actividad de formación está exenta de tributación, a diferencia de la actividad de consultoría que tributa al régimen normal del 21%.

Un derecho fundamental

–Con la Protección de Datos, ¿qué derecho fundamental se busca garantizar?

-La protección de datos de carácter personal es en sí mismo un derecho fundamental, reconocido en las constituciones de muchos países (como puede ser el caso de España). También, en la Carta europea de derechos fundamentales.

Se trata de un derecho autónomo, aunque con contornos no siempre fáciles de distinguir de derechos de su “misma familia”, como el derecho a la intimidad”

Como indicaba el Tribunal Constitucional en su famosa sentencia 292/2000: “El derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de estos datos proporcionar a un tercero, sea el estado o un particular, o cuáles puede este tercero recabar, permitiendo también al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esta posesión o uso”.

Se trata de un derecho autónomo, aunque con contornos no siempre fáciles de distinguir de derechos de su “misma familia”, como por ejemplo el derecho al honor, a la intimidad, a la imagen, etc.

–Ya llevamos cierto recorrido desde que empezó a ser exigible la nueva legislación. ¿Cuáles son los avances positivos que más destaca?

–El Reglamento General de Protección de Datos (RGPD) ha aportado diferentes aspectos positivos, entre ellos:

a) Ha supuesto una mayor uniformidad en la legislación a nivel europeo, sin perjuicio de la existencia de Leyes de Protección en los países que cubren aspectos que el propio RGPD “les permite”. En el caso de España, hablamos de la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Esa mayor armonía es una forma de facilitar el tráfico de datos y -por consiguiente- el tráfico económico en Europa.

lenguaje-r-unir-4

b) Ha aportado nuevos conceptos, principios, obligaciones y derechos que conviven con otros que ya existían, y que se han recogido como legado. Con ello se permite disponer de una norma que pueda dar solución a los nuevos retos que las Tecnologías de la Información suponen.

c) La figura del Delegado de Protección de Datos (DPD) es otro de los grandes avances. Se trata de un rol ya existente, pero que el RGPD configura como obligatorio en ciertos supuestos y al que dota de unas funciones muy importantes.

d) A nivel nacional, como he indicado, ya tenemos la LOPDGDD. Exceptuando su título X (que habla de las Garantías de Derechos Digitales y que fue introducido sin respetar el mínimo sosiego y técnica legislativa requerida) es, en general, una buena norma que complementa al RGPD. Por ejemplo, recoge la jurisprudencia existente hasta la fecha y aporta regulación en materias en las que antes la LOPD no regulaba directamente (como por ejemplo la videovigilancia o canal de denuncias interno, entre otros).

Retos por delante

–¿Qué otros aspectos prioritarios deben ser mejorados?

–Quedan pendientes retos muy importantes. Algunos de los más relevantes son:

-La mayor uniformidad de la legislación europea conlleva que los diferentes países tengan que acercar posturas; y también, una coordinación eficiente entre las autoridades de protección de datos de los diferentes países, para intentar homogeneizar criterios y sanciones. Desde luego, la creación del Comité Europeo de Protección de Datos (CEPD) por parte del RGPD ayudará en ello, pero aún queda camino por recorrer.

-El nuevo marco normativo requiere entender e interpretar algunos aspectos nuevos. Aunque las autoridades de control están ayudando en la interpretación de la normativa (por ejemplo, con la publicación de guías) queda bastante tarea por delante. Pensemos, por ejemplo, en el análisis de riesgos en materia de protección de datos, algo a lo que los juristas dedicados a esta materia (en general) les ha costado un poco más de entender.

lenguaje-r-unir-3

–¿Cuál es el grado de adecuación a la norma por parte de las empresas?

–En España llevamos años de cumplimiento de esta legislación y hay que reconocer que su mejora se va consolidando, pero aún quedan bastantes elementos de un “cumplimiento formal o cosmético”.

Creo que sólo llegaremos a un “cumplimiento real generalizado” cuando se consiga revertir la visión de la protección de datos como algo negativo. pues siempre va asociado a abusos en el uso de los datos, a obligaciones, a sanciones, etc. Las organizaciones deben de empezar a poner en valor la protección de datos y ello pasa “porque se la crean”.  Y a ello también contribuirá cuando los interesados (que son los titulares de los datos) conozcan sus derechos y los hagan valer: Cuando el tratamiento de los datos sea un elemento importante a la hora de escoger una empresa.

La desprotección del usuario en internet

–¿La protección del usuario en internet es aún insuficiente?

–Sí, creo que es insuficiente por diversos motivos:

1- Hay aspectos de índole legislativo. Dado que todavía los Estados miembros de la UE no han logrado alcanzar un acuerdo sobre la propuesta de Reglamento de e-privacy, podemos concluir que la actual Directiva de e-privacy tiene carencias debido a que es una norma que ha quedado superada por el desarrollo tecnológico.

2- Hay aspectos determinantes de cultura de las empresas, como he indicado anteriormente en general.

3- Hay aspectos de concienciación de las personas que también anticipaba. Creo que la educación de nuestros menores es la mejor apuesta que se puede hacer en este sentido.

–A pesar de todo, ¿hemos tomado más conciencia real de proteger nuestros datos y hacer valer nuestros derechos?

–En parte sí, aunque queda mucho camino por recorrer, como indicaba. Desde la exigencia del RGPD se ha evidenciado que los ciudadanos están mucho más sensibilizados con su privacidad y lo ratifican los datos. Por un lado, a nivel europeo – según cifras del Comité europeo de protección de datos – tras el primer año de aplicación han aumentado las denuncias/quejas ante las autoridades de control; lo cual se debe en gran parte al aumento de la concienciación en cuanto a nuestros derechos de protección de datos.

big-data2-713x535

Por otro lado, los ciudadanos son conscientes de que existe una autoridad en protección de datos en su país o territorio, para proteger sus derechos. Y, en concreto en España, las estadísticas de la AEPD muestran un incremento sustancial en el número de reclamaciones presentadas.

Formación para adaptarse a las necesidades de la sociedad

La formación de profesionales idóneos y capacitados para responder a las necesidades de empresas y particulares se torna esencial. Miles de ciudadanos y organizaciones requieren los servicios de expertos que puedan asesorar como corresponde en materia de adecuación a la normativa vigente de Protección de Datos.

Uno de los puntos más importantes que distingue al programa académico del Máster en Seguridad Informática online de UNIR es precisamente brindar conocimientos y herramientas, con los contenidos más actualizados, en relación a este tema.

Conocer y comprender la legislación actual, dirigida a la protección de nuestra información, es uno de los pilares del posgrado. Al incorporar estos conocimientos, los alumnos sabrán aplicar en las empresas los principales estándares y buenas prácticas en materia de protección de datos que exige la normativa en vigor.