Fraus en protecció de dades: errors que et poden costar sancions i com evitar-los

Dins el sector de la protecció de dades, la desinformació i la picaresca han donat lloc a múltiples fraus que posen en risc tant la legalitat com la reputació de les empreses. Moltes pimes creuen estar complint la llei per haver contractat un servei barat o haver copiat textos legals d’una altra web, però en realitat estan exposades a sancions greus per part de l’Agència Espanyola de Protecció de Dades (AEPD).

Aquest article recopila les estafes més comunes en protecció de dades i ofereix recomanacions clares per evitar-les, assegurant així un compliment real del Reglament General de Protecció de Dades (RGPD).

Fraus freqüents en protecció de dades

1. Cartells de videovigilància sense complir el RGPD

Col·locar únicament un cartell groc no significa que estiguis complint la normativa. La videovigilància està subjecta al RGPD i requereix:

• Una anàlisi de legitimitat del tractament d’imatges.
• Registre d’activitats de tractament.
• Informació clara i accessible per als interessats.
• Contracte amb l’encarregat del tractament si les càmeres són gestionades per un tercer.

Si no pots demostrar documentalment que compleixes la normativa, les imatges podrien ser considerades invàlides i podries ser sancionat.

2. Textos legals copiats per a la web

Moltes empreses creuen que copiar i enganxar una política de privacitat o un avís legal des d’una altra web és suficient. Això no només és un error, sinó un risc:

• Els textos han d’estar adaptats a l’activitat específica de la teva empresa.
• Han de reflectir com tractes les dades, quines finalitats tens, quina base legal apliques i a qui comuniques les dades.
• Copiar textos pot portar-te a incomplir aspectes essencials del RGPD com el principi de transparència.

A més, és molt habitual que empreses desenvolupadores de pàgines web incloguin com a valor afegit la redacció d’aquests textos legals, sense ser especialistes en protecció de dades. En molts casos, utilitzen plantilles genèriques o textos copiats d’altres clients, simplement canviant el nom de l’empresa. Encara que això pugui semblar un estalvi, en realitat deixa l’empresa completament exposada davant d’una inspecció o reclamació.

No n’hi ha prou amb tenir un avís legal a la web: aquest contingut ha de ser fruit d’una anàlisi prèvia sobre el tractament real de dades que realitza l’empresa, i ha d’estar redactat per professionals especialitzats en compliment normatiu.

3. Cursos bonificables com a ganxo comercial

Algunes “consultores” ofereixen serveis de protecció de dades a canvi que el client contracti un curs bonificable, dient que “ho tindràs de franc” o “només pagues el curs”. Aquesta pràctica sol amagar:

• Formació de dubtosa qualitat.
• Frau a la Seguretat Social o a Fundae.
• Absència total d’un servei tècnic i jurídic real.

El frau en cursos bonificables ha estat objecte de múltiples investigacions per part de la Inspecció de Treball i Fundae. Algunes empreses abusen del sistema de bonificacions per oferir cursos que en realitat no compleixen els requisits mínims de qualitat ni tenen relació amb l’activitat real de l’empresa. A més, en ocasions es camufla el cost del servei de protecció de dades dins del curs, cosa que constitueix una pràctica il·legal i sancionable.

Els cursos bonificables han d’estar degudament justificats, registrats a Fundae, impartits per centres de formació acreditats i alineats amb les necessitats reals del lloc de treball. Utilitzar-los com a moneda de canvi o per finançar altres serveis és una manipulació del sistema de formació professional.

Tingues sempre present que la normativa no obliga a realitzar cap curs per complir el RGPD, i molt menys a contractar un servei camuflat com a formació. Quan un proveïdor t’estigui oferint aquesta opció com un gran avantatge per a la teva empresa, és una red flag.

4. El fals “certificat de compliment” del RGPD

Una de les estafes més comunes és vendre un suposat “certificat de compliment RGPD” com si fos un document oficial o d’obligat compliment. És fonamental aclarir el següent:

• No existeix cap certificat oficial de compliment emès per l’AEPD o qualsevol altre organisme públic.
• Les consultores poden, si ho desitgen, emetre un certificat privat per deixar constància del treball realitzat (com per exemple, d’una formació impartida a l’equip professional), però mai no ha de semblar que aquest certificat té validesa legal o constitueix una acreditació oficial.
• Aquests documents poden tenir un valor intern o ser utilitzats com a part d’una auditoria privada, però no s’han d’utilitzar com a reclam comercial, ni molt menys presentar-se com una certificació obligatòria o amb el suport de l’administració.
• En alguns casos, els certificats poden ser emesos per a empleats o equips com a reconeixement de bones pràctiques internes, però mai no es poden comercialitzar com si es tractés d’una auditoria certificadora oficial.
• Utilitzar expressions com “certificat conforme a la llei” o “títol acreditatiu obligatori” per vendre aquests serveis pot induir a error i està considerat com una pràctica comercial deslleial.
• El problema no és el certificat en si, sinó l’ús que se li dona: pot formar part de la documentació que una consultora lliura al client per evidenciar el treball realitzat, sempre que es presenti amb transparència. Si s’ofereix com a reclam publicitari, com un títol amb validesa oficial o com a exigència legal, s’està incorrent en frau.

Si algú t’ofereix un “certificat de compliment RGPD” com a punt diferencial del seu servei, desconfia.

5. Trucades falses sobre llistes negres

Una altra pràctica fraudulenta és rebre trucades on t’alerten que “la teva empresa està inclosa en una llista d’incompliment” i que “has de fer un curs urgentment per evitar una sanció”. Aquesta tècnica de por busca pressionar-te perquè compris un servei innecessari.

• No existeix cap llista pública d’empreses incomplidores.
• Cap organisme oficial truca a empreses per amenaçar-les amb sancions.

Si et passa, demana identificació per escrit i denuncia el cas.

6. Sol·licitud de la teva base de dades per tramitar contractes

Cap empresa de protecció de dades necessita que li enviïs la teva base de clients o proveïdors per formalitzar el seu servei. Sí que podrien necessitar conèixer la quantitat de clients o proveïdors que tens per fer un pressupost (per exemple, 2.000 clients i 20 proveïdors), però mai no haurien de demanar-te la base de dades completa. Si t’ho sol·liciten, és un:

• Compartir dades sense base legal pot comportar-te sancions.
• Estàs vulnerant drets fonamentals de tercers.

La protecció de dades es basa en la minimització i confidencialitat del tractament. Si algú et demana aquesta informació, t’estan enganyant.

7. Llei 15/1999: documentació desactualitzada

La Llei Orgànica 15/1999 va ser derogada el desembre de 2018 i substituïda per la Llei Orgànica 3/2018 i el Reglament Europeu de Protecció de Dades. Si la teva documentació o textos legals segueixen esmentant la Llei 15/1999, estàs clarament desactualitzat i probablement incomplint.

Sol·licita una auditoria i actualització immediata per evitar sancions innecessàries.

Com protegir-se dels fraus en protecció de dades

1. Contracta sempre empreses especialitzades i amb experiència acreditada.
2. Exigeix que tot el treball estigui documentat: registre d’activitats, clàusules, contractes amb encarregats, avaluacions d’impacte si són necessàries, etc.
3. Consulta amb un professional si tens dubtes abans d’acceptar una oferta que sembla massa bona per ser veritat.
4. Recorda: en protecció de dades, el barat pot sortir molt car.

Si necessites una auditoria professional per saber si la teva empresa compleix realment el RGPD i evitar sancions o males pràctiques, a Edorteam t’oferim una revisió inicial gratuïta i sense compromís.