Los fraudes de consultoría a 'coste cero' con cargo a formación y otras malas prácticas en el mundo de la protección de datos personales son más viejas que el hilo negro —ya existían denuncias hace más de una década— pero no terminan de desaparecer. Una gran parte del problema es la falta de concienciación sobre los riesgos reales que supone contratar este tipo de servicio.

Eso es lo que sigue denunciando la Asociación Profesional Española de Privacidad (APEP), que acaba de lanzar una campaña de concienciación en la que una página web simula ofrecer servicios gratis sobre protección de datos pero que, al interactuar con ella, intenta informar y alertar sobre las malas prácticas en este campo. La idea es que se posiciones en los buscadores y resulte útil al empresario que llegue a ella con la idea de ahorrarse unos eurillos en consultoría.

"En los últimos 10 años, nosotros hemos identificado hasta 150 empresas que se dedicaban a esto, algunas ya no existen, pero ahora mismo hay cerca de una veintena bastante activas", comenta a Público el presidente de APEP, Marcos Judel. Cuando las detectan, las denuncian directamente ante las delegaciones territoriales de Inspección de Trabajo. "Llevamos unas 40 sólo este año", añade, aunque reconoce que ellos no han llevado a los tribunales a ninguna de ellas. Y afirma que, en general, "esos servicios de consultoría de 'coste cero' suelen ser un fraude para trabajadores, paras las propias pymes que los contratan y para Hacienda".

Las malas prácticas en el sector se dispararon a partir de mayo de 2018, cuando el Reglamento General de Protección de Datos (RGPD) europeo comenzó a aplicarse y ello supuso un reto para las empresas, especialmente para las más pequeñas. A la sombra de estas nuevas y complejas reglas surgió un enjambre de negocios de consultoría y asesoramiento que actúan de manera fraudulenta, aparte de la existencia de una suerte de 'competencia deseal' con los verdaderos expertos. Pese al tiempo transcurrido, estos fraudes aún existen.

Ya hace 11 años, la Fundación Estatal para la Formación en el Empleo (Fundae) —entonces llamada Fundación Tripartita— alertaba de estas prácticas. La propia directora de la Agencia Española de Protección de Datos (AEPD), Mar España, confesaba en 2018 su preocupación sobre las pymes a raíz del inicio de la aplicación directa del RGPD. En 2019 la propia agencia emitía una nota sobre el 'coste cero' y sus peligros (PDF).

Fraude y malas prácticas

Aún hoy, decenas de páginas web se anuncian a pymes 'regalando' la parte de consultoría e implantación de las medidas previstas en el RGPD (y en la Ley Orgánica española), y cobran por una "formación a los trabajadores" a cargo a los créditos para formación de la Fundae, es decir, con dinero público. Además, esas actividades están exentas de tributación por el Impuesto del Valor Añadido (IVA).

Quienes contratan este tipo de servicio suelen buscar pagar lo menos posible, ya que se ahorran tanto los honorarios de un consultor —que son pagados con un dinero que debería ir a formar adecuadamente a los trabajadores—, como el IVA de los mismos. Pero es que eso puede constituir un doble fraude; Inspección de Trabajo sanciona con hasta 187.515 euros el mal uso de los fondos de Fundae, y enmascarar un servicio como formación es una infracción tributaria.

También es un fraude para los trabajadores, a quienes su empleador impone una formación sobre protección de datos (que no han elegido) para obtener esa 'consultoría a coste cero'. Además, ésta suele ser incompleta, insuficiente —veces no es más que una serie de documentos o formularios copiados y pegados de recursos que ya existen gratis en la red— o directamente inexistente. ¿Qué puede salir mal?

En otras ocasiones no se trata de querer ahorrar a toda costa, sino que los empresarios resultan engañados por puro desconocimiento o víctimas de la mala fe de esas compañías. "Nosotros hemos visto de todo, incluso personas que se han presentado en empresas haciéndose pasar por inspectores de la AEPD recomendando a una empresa tras amenazar con multas", comenta Marcos Judel, que insiste en que "en lo que hay que incidir es en la cultura de la protección de datos".

La obligación de cumplir con las normas de protección de datos se puede comparar con el acto de liquidar el impuesto sobre la renta: uno puede hacerlo por sí mismo o contratar una gestoría para que nos la hagan. Es decir, pagar el impuesto es un acto obligatorio para todos los cotizantes y no requiere de la ayuda de un profesional titulado o autorizado. No obstante, en este sentido, Judel reivindica el trabajo de los "profesionales formados, cualificados, con alguna certificación, que ofrezca un servicio personalizado y serio".

En cualquier caso, conviene recordar una serie de puntos básicos sobre la normativa de protección de datos:

1) El cumplimiento del RGPD y de la Ley Orgánica española implica revisar, diseñar y aplicar los principios de protección de datos a las circunstancias específicas de cada empresa: no basta con un certificado o papel que lo diga.

2) No es obligatorio disponer de un delegado de protección de datos salvo en los casos descritos en el art.34 de la LOPD. Es decir, que si una empresa no maneja datos personales especialmente protegidos o un enorme volumen de información. Eso sí, si se designa un DPD (porque sea obligatorio o porque la entidad opte por designarlo de forma voluntaria) es obligatorio comunicarlo a la Agencia.

3) No se puede utilizar el logo de la AEPD de forma comercial, ni existen empresas que actúan "en colaboración" con la agencia. La Disposición adicional decimosexta de la LOPD recoge las prácticas agresivas en materia de protección de datos.

4) Hay recursos públicos para informarse a fondo acerca del cumplimiento de la protección de datos personales. Son claros, útiles y gratis.