La AEPD ha publicado un informe donde presenta consejos y directrices para que las organizaciones eviten ser víctimas de prácticas fraudulentas en el ámbito de la adecuación a la protección de datos, como las que compartimos contigo en este artículo.

Las vacaciones van terminando y, poco a poco, volvemos a la rutina, a nuestros desafíos, normativas.... Es hora ya de ponernos con los proyectos que hemos programado para septiembre; y en caso de que tu compañía aun no haya iniciado un programa de privacidad y adecuación a la nueva normativa (recordamos que la LOPDGDD fue aprobada en diciembre de 2018), te recomendamos que te pongas a ello, ya que es una parte fundamental de un buen programa de Ciberseguridad.

En relación a la adecuación a la protección de datos, este verano la Agencia Española de Protección de Datos (AEPD), ha publicado un breve pero claro informe acerca de los servicios de adecuación al RGPD a coste cero que han ido surgiendo a través de internet u otros medios.  

Desde la aprobación europea del RGPD en 2016, en OptimumTIC hemos acompañado a diversas empresas en su adecuación a la nueva normativa, y prestado nuestro servicio completo de asesoría y cumplimiento, en el que somos expertos gracias a nuestro background en ISO 27001. Además, estamos certificados en potentes herramientas que pueden ayudarte a alcanzar el compliance en protección de datos, desde la proactividad continua y conforme la transversalidad que exige el nuevo paradigma en protección de datos. Ofrecemos servicios profesionales como expertos en la normativa de protección de datos y Ciberseguridad, así como un equipo experto en integración de medidas técnicas que contribuyen a una implementación integral: legal, organizativa y técnica, y a evitar riesgos como los publicados por la Agencia.

A continuación, te presentamos una serie de consejos para evitar ser víctima de una de estas prácticas fraudulentas:

¿Qué son los servicios a coste cero y cómo los identifico?

Se denomina servicios de adecuación a la normativa en protección de datos a coste cero a aquellas ofertas de servicios de adecuación por un precio exageradamente bajo o, incluso, gratuitos.

Es claro que un servicio que se oferta a un precio excesivamente bajo no contemplará una serie de acciones que son necesarias para realizar una adecuación adecuada a la protección de datos; un análisis en profundidad de las actividades de la compañía, de sus necesidades, objetivos y recursos, tanto a nivel técnico como legal y organizativo. Sin este amplio y exhaustivo análisis, la adecuación nunca será real y óptima, pues no tendrá en cuenta las características y particularidades de la compañía.

Es importante recordar que el RGPD y la LOPDGDD no sólo representan una actualización de la normativa, sino que implican un cambio de paradigma en la protección de datos, ya que introducen nuevos principios como la proactividad o la privacidad por defecto y desde el diseño, lo que implica que las compañías deben integrar la protección de datos en todos los procesos internos de la organización, y contemplar la protección de datos como uno de los riesgos a evaluar para cada nuevo proyecto o tratamiento de datos.

Estos servicios fraudulentos pueden identificarse a partir de rasgos como los siguientes:

• Plantillas, y nada más: este tipo de proveedores facilitan al cliente una serie de plantillas genéricas cumplimentadas, como única acción necesaria para la adecuación, obviando el principio de proactividad y el análisis de riesgos que requiere la nueva normativa, entre otros.
• No es la AEPD, es suplantación de identidad: se ha detectado que este tipo de servicios utilizan logos oficiales de la AEPD o de entidades de certificación acreditadas, con el objetivo de simular algún tipo de aval o de colaboración entre ambas organizaciones, e incluso incluyen los logos en la propia documentación que generan y entregan al cliente.
• No todas las organizaciones necesitan un DPO: Es habitual también encontrar que este tipo de servicios hacen creer al cliente la necesidad de incorporar un DPO. Tal y como se especifica en el Capítulo III de la LOPDGDD, la obligatoriedad de incorporar un DPO se da en determinadas circunstancias y en función del cumplimiento de una serie de requerimientos, por lo que inducir al cliente a contratar este tipo de servicios, como necesidad para evitar sanciones, cuando la organización no cumple con los requerimientos que obligan a disponer de esta figura, se considera una práctica fraudulenta.
• La adecuación no es sólo formación: es evidente que la formación y concienciación en ciberseguridad y protección de datos es uno de los aspectos clave para que tanto el proceso de adecuación, como el mantenimiento y desarrollo posterior de los nuevos flujos y mecanismos creado, lleguen a buen puerto. Pero contratar un servicio de adecuación a la normativa en protección de datos a coste cero, financiados a cargo de fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional en el empleo, puede suponer infracciones sancionables por la Inspección de Trabajo y Seguridad Social.

¿Cómo escojo a un buen proveedor?

Igual que en todos los ámbitos y actividades de la organización, contratar servicios a un tercero implica algunos riesgos que es necesario contemplar; y en especial cuando hablamos de datos personales por la propia sensibilidad de la materia y el período de adaptación a una nueva normativa, en el que nos encontramos ahora mismo.

Para garantizar que no somos víctimas de un servicio fraudulento, y de que la adecuación de nuestra organización será adecuada y, a largo plazo, supondrá beneficios para la compañía, a nivel de optimización de procesos internos, de aumento de confianza y reputación, y de compliance, es necesario que previo a escoger un proveedor tengamos en cuenta algunos aspectos que nos pueden ayudar en esta decisión:

• La adecuación a la protección de datos debe ser transversal, por lo que lo óptimo es escoger un proveedor de servicios con conocimientos legales, técnicos y organizativos en la materia, que nos aportará una visión global desde un equipo propio.
• Cada organización es distinta y, por ello, es necesario que el proveedor que escojamos conozca y tenga en cuenta las necesidades y características de nuestra organización, para poder así plantear un plan de acción real y adaptado y que, a su vez, cumpla con los requerimientos que establece la nueva normativa.
• Es recomendable revisar la propia web del proveedor, así como su oferta de servicios, desde el ámbito de la protección de datos; si el proveedor no está adecuado, puede ser un indicio del nivel de conocimiento de la materia, o de su manera de realizar este tipo de servicios o proyectos.

En OptimumTIC contamos con un equipo propio multidisciplinar que posee los conocimientos y experiencia necesarios para realizar adecuaciones a la normativa en protección de datos que contemplen los aspectos legales, técnicos y organizativos necesarios, de una manera transversal y en base a las necesidades de la organización junto con los requerimientos que establece la normativa. Si aún no te has adaptado, ¡no lo dudes y contacta con nosotros sin compromiso!

Si deseas más información sobre el producto o sobre nuestros servicios, no dudes en contactarnos a través de info@optimumtic.com o a través de nuestra página web: www.optimumtic.com