La competencia desleal existe en la mayoría de los sectores, relacionándose normalmente con casos de dumping, engaño o confusión. Lamentablemente, en nuestro sector de asesoría legal también se vienen detectando casos de acciones comerciales que incurren en este tipo de engaño. Por la dimensión del problema, la propia Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) incluyó en su Disposición adicional decimosexta, contenido respecto a estas consideradas prácticas agresivas en materia de protección de datos, conforme a la Ley 3/1991, de 10 de enero, de Competencia Desleal.
¿Cuáles son las practicas que llevan a cabo estas “supuestas” consultoras de protección de datos?
Empieza a ser habitual que nuestros clientes reciban llamadas telefónicas de supuestas consultoras de protección de datos que, entre otras cuestiones:
- Suplantan la identidad de la AEPD o pretenden hacer creer que actúan en su nombre.
- Hacen referencia a la posible imposición de sanciones por incumplimiento de la normativa, coartando el poder de decisión de los destinatarios.
- Hacen creer a nuestro cliente que está obligado a designar un DPO, sin ser el caso.
- Ofrecen servicios innecesarios, que presumen obligatorios, para los tratamientos que realiza nuestros clientes.
- Ofrecen falsas acreditaciones o falsos certificados de cumplimiento, de forma complementaria a la realización de actividades formativas, que venden a nuestros clientes como obligatorias.
De todas esas prácticas agresivas, quizás una de las más utilizadas es la de “coste cero”, es decir, ofrecen un servicio de adecuación a la normativa de protección de datos a un precio muy bajo, como 20 0 50 euros, o incluso de forma gratuita, abonando el pago de estos servicios mediante los créditos que las entidades tienen destinados a los programas de formación para sus personas trabajadoras, realizando un curso de protección de datos bonificado. La contratación de este tipo de servicio puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas elevadas, además de tener que devolver la empresa bonificada la cantidad deducida en los seguros sociales a requerimiento del SEPE.
Recordemos que, si bien la formación de la plantilla en RGPD es necesaria para cumplir, la ley no exige que se trate de un curso bonificado ni específico, pudiendo la entidad responsable decidir la forma en la que dará traslado a su personal de las obligaciones.
A continuación, detallamos algunos ejemplos de estas prácticas agresivas de las que nos están informando algunos de nuestros clientes y su correspondiente aclaración:
- Llaman insistentemente para que el cliente dude de si cumple o no con la normativa de protección de datos indicándoles que, si contratan el servicio con ellos, ya no deberán preocuparse por la protección de datos en su empresa.
- Estas entidades desconocen el nivel de cumplimiento de cada cliente.
- Llaman indicando que les falta el Certificado de cumplimiento obligatorio, y que ellos lo ofrecen por un precio inferior.
- No existe un «Certificado obligatorio» en la Ley. Algunas empresas emiten certificados de cumplimiento voluntariamente a sus clientes, como es nuestro caso, pero el hecho de no contar con ello no supone absolutamente ningún incumplimiento.
- Llaman indicando que no constan registrado los ficheros o el Delegado de protección de datos en la AEPD, como indicador de incumplimiento:
- Actualmente NO se notifican ficheros a la AEPD, y solo de notifica un delegado de protección de datos cuando es obligatorio desginarlo.
- Llaman indicando que a sus servicios se les puede aplicar una bonificación de la Seguridad Social o que están acreditados por una empresa homologada o cualquier otra artimaña que les haga parecer una consultora seria y experta en la normativa de protección de datos.
- Los servicios profesionales no pueden bonificarse con cargo a créditos formativos, deben facturarse por su precio de mercado y su correspondiente IVA/IGIC.
En definitiva, que consiguen preocupar a los clientes haciéndoles temer que sufrirán importantes sanciones por los distintos incumplimientos de la normativa y por mucho que les digan que este servicio ya se lo gestiona otra consultora vuelven a insistir en que les faltan cosas y que no están cumpliendo la normativa de privacidad.
¿Cómo debes actuar ante estas prácticas agresivas?
Recuerda, ante estas llamadas lo primero que debes hacer es:
- Preguntar de donde te llaman y apuntar el nombre de la empresa y el número de teléfono
- Ponerte en contacto con nosotros a través de info@umbraconsulting.es, para que atendamos el caso, y, si procede, realicemos la correspondiente denuncia.
- Verifica que la empresa con la que trabajas efectivamente posee conocimientos y experiencia necesaria para garantizar la seguridad jurídica de tu negocio, por ejemplo, puedes revisar su página web, y exigirles que acrediten que al menos el responsable del proyecto está en posesión de Certificado de Delegado de Protección (DPD) de datos vigente, y, una vez que te lo envíen verifica con la entidad certificadora que efectivamente es válido. Puedes consultar un ejemplo de Certificado de DPD válido Aquí