La AEPD alerta a pymes y autónomos de los riesgos de contratar servicios de adecuación a la normativa a ‘coste cero’

(3 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado un documento informativo en el que alerta a pymes y autónomos de los riesgos de contratar los servicios de adecuación a la normativa de protección de datos a empresas que la ofrecen a ‘coste cero’. El documento, que ha sido elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, también recoge otras prácticas fraudulentas que suelen estar asociadas a este tipo de servicios.

 La adecuación a la normativa de protección de datos conocida como coste cero consiste en ofertar estos servicios a un precio muy bajo o incluso de forma gratuita, abonando el pago de estos mediante los fondos de la empresa destinados a los programas de formación para trabajadores, que son objeto de bonificación por parte de la Seguridad Social.

 La contratación del servicio de adecuación a la normativa de protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.

 Además, en lo referente al cumplimiento de obligaciones tributarias por parte de las empresas, tanto de quien oferta el servicio como de quien lo contrata, las actividades formativas destinadas a los trabajadores están exentas de tributación por el IVA, mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21%. De enmascararse el servicio realmente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.

 La Agencia también advierte a pymes y autónomos, destinatarios fundamentales de este tipo de prácticas, que los servicios de adecuación a la normativa requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos. Por tanto, es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad.

 Por otro lado, hacer creer a pymes y autónomos que están obligadas en cualquier caso a designar un delegado de protección de datos u ofrecer servicios innecesarios para los tratamientos que realiza la empresa son otros de los mensajes engañosos frecuentes.

 El documento también hace referencia a prácticas agresivas y que podrían incurrir en competencia desleal, como actuar con intención de suplantar la identidad de la Agencia en las comunicaciones que se realizan, generar la apariencia de que se está actuando en colaboración con la AEPD, realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos, u ofrecer documentación por la que se pretenda crear una apariencia de cumplimiento de la normativa de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar dicho cumplimiento. En estos casos, los afectados podrán ejercer acciones ante los juzgados de lo mercantil o denunciarlo ante la Comisión Nacional de los Mercados y de la Competencia si se vulnera la Ley de Defensa de la Competencia.

DELEGADO DE PROTECCIÓN DE DATOS (DPO – Data Protection Officer)

Los servicios profesionales a prestar por JMSM PRIVACY CONSULTING consistirá en términos generales:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Formar a los empleados del responsable del tratamiento sobre normativa de protección de datos.
  • Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento.

La AEPD publica dos análisis para fomentar la privacidad en dispositivos Android

(Madrid, 8 de mayo de 2019). La Agencia Española de Protección de Datos (AEPD), ha publicado dos estudios técnicos centrados en el sistema operativo Android: Control del usuario en la personalización de anuncios y Acceso de las aplicaciones a la pantalla. Los análisis, dirigidos a usuarios y desarrolladores de apps, ofrecen consejos para evitar algunas de las prácticas detalladas en los documentos a la vez que detallan los mecanismos que deben implementar los desarrolladores para cumplir con la normativa de protección de datos.

La nota técnica Control del usuario en la personalización de anuncios analiza qué son los identificadores de publicidad presentes en los dispositivos Android, para qué se utilizan y qué opciones tiene el usuario para controlarlos. Cada terminal cuenta con un AAID, un identificador único para el envío de anuncios personalizados que puede ser cambiado o inhabilitado. Si el usuario lo inhabilita, esta configuración se transmitirá a las entidades que generan la publicidad, pero depende de estas respetar o no esta preferencia. Además, deshabilitarlo no impide que el AAID sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario para, por ejemplo, utilizarlo en un futuro cuando la personalización de anuncios vuelva a estar activa. El informe destaca que, por ejemplo, tras reiniciar un dispositivo a los valores de fábrica, la personalización de anuncios vuelve a estar habilitada por defecto y que el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el Reglamento General de Protección de Datos (RGPD).

La nota ejemplifica estos hechos con Facebook, concluyendo que cuando un usuario deshabilita la publicidad basada en sus gustos e intereses sólo está indicando que la red social no devuelva un anuncio personalizado, pero sin poder evitar que ésta siga recopilando datos del usuario, asociándolos a un identificador de publicidad y elaborando un perfil basado en las aplicaciones que se ejecutan. Esta recopilación de datos se produce independientemente de que el usuario del dispositivo esté registrado en Facebook. De hecho, el análisis muestra cómo se envía el AAID durante la ejecución de una aplicación de temática sexual. El simple hecho de abrir esta aplicación produce la comunicación del AAID a Facebook, indicando no solo el nombre de la aplicación sino otra información como la localización del dispositivo, el modelo del terminal y el idioma. Este envío se produce aunque el usuario tenga deshabilitada la personalización de anuncios.

Aquellos usuarios que deseen evitar el perfilado tienen que deshabilitar la personalización de anuncios (Ajustes/Google/Anuncios), siendo consciente de la limitación de su eficacia, así como reiniciar el AAID frecuentemente y mantener instaladas en el dispositivo únicamente las apps que proporcionen un nivel de confianza adecuado. En cuanto a los consejos para desarrolladores, deben tener en cuenta que el envío de datos personales a terceros se considera un tratamiento para el que es necesaria una base legal, y que deben cumplir con todos los principios del RGPD, como el de minimización de datos, además de la privacidad por defecto y desde el diseño. En definitiva, se trata de proporcionar al usuario una configuración por defecto que proteja su privacidad y opciones reales que le permitan no ser objeto de seguimiento.

El segundo de los estudios publicados por la AEPD, Acceso de las aplicaciones a la pantalla en dispositivos Android, muestra con ejemplos cómo algunas apps solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso. De este modo, cualquier aplicación en la que el usuario acepte su cuadro de diálogo podrá grabar aquello que se muestre en la pantalla del dispositivo.

La aceptación por el usuario de la grabación de la pantalla no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD. De igual forma, no cumplirá con los principios de trasparencia que la grabación de la pantalla se produzca sin que el usuario sea consciente de en qué momentos se está ejecutando la misma, independientemente de que se haya concedido el permiso en un momento dado. La Agencia recomienda no permitir el acceso al contenido de su pantalla si no se le ha ofrecido información suficiente y no activar nunca la opción “No volver a mostrar” cuando se muestra el aviso.

Por su parte, los desarrolladores de aplicaciones que utilizan la grabación de la pantalla, han de asegurarse de que se recoge de forma apropiada el consentimiento de los usuarios con posterioridad a cumplir los requisitos de información que señala la normativa y que se ofrece una forma fácil de retirar dicho consentimiento. Además, han de proporcionar mecanismos para que el usuario sea plenamente consciente de cuándo se están realizando dichas grabaciones.

Actuaciones de la AEPD

La AEPD va a presentar estas notas y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la Agencia junto a otras autoridades europeas de protección de datos y el Supervisor Europeo. El CEPD tiene entre sus funciones promover la cooperación entre las autoridades de protección de datos.

1
Hola, ¿En qué podemos ayudarle?
Powered by