Consultas Online
Protección de datos a coste reducido por contratar curso bonificado
03.08.23
Recientemente hemos contactado con una empresa dedicada a la implantación de la LOPD y nos ha ofrecido sus servicios a un coste muy reducido a condición de que contratemos con otra empresa con la que ellos tienen un acuerdo, algún curso de formación bonificado con las cuotas de la seguridad social (al parecer tienen un acuerdo entre ambas empresas y por cada cliente que una le envía, la otra le da una comisión por lo que le precio de la implantación de la LOPD se reduce mucho, aunque no llega a ser gratis). En principio, nos ha parecido buena idea porque es una forma de ahorrarnos dinero con la protección de datos y de que uno de los empleados de la asociación pueda hacer un curso sobre algún tema de interés para nosotros. Además, este curso no nos supone ningún gasto pues su coste se deduce de las cuotas de la seguridad social.
Hasta aquí todo parece que está bien, la duda nos ha surgido cuando hemos tenido conocimiento de la circular de la Agencia Española de Protección de Datos de julio de 2019 (adjunto el documento) donde parece decir que este tipo de prácticas son fraudulentas, es decir, que no se puede rebajar el precio de la implantación de la protección de datos por hacer cursos de formación, aunque no tenemos muy claro que esta sea la situación que se nos ha presentado a nosotros.
Necesitamos que algún asesor nos aclare si incurrimos en alguna ilegalidad al aceptar la implantación de la protección de datos a coste reducido a condición de contratar con otra empresa un curso de formación de un tema diferente a la protección de datos (habíamos pensado hacer uno sobre manejo de redes sociales).
Agradeceremos mucho cualquier comentario sobre nuestra consulta.
Un saludo
Este tema tiene un documento que lo complementa. ¡Descárgalo!
Respuestas
Insuficiente
Aportada por:
Funcionario de la Junta de Andalucía. Abogado no ejerciente. Doctorando en Derecho.
Trabaja en:
Asesor particular
15.08.23
En relación con la consulta planteada, paso a informarle lo siguiente: inicialmente, se conoce como adecuación a la “implantación protección de datos a coste cero”, a la práctica consistente en ofertar una adecuación completa a la legislación en materia de protección de datos personales a un muy bajo −o incluso gratis−. Y es que un servicio de adecuación a una normativa específica requiere como la reseñada para obtener un resultado correcto, un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, además de un programa formativo para los empleados de la entidad.
Al respecto, las ofertas que pueden entrañar un fraude habitualmente son emitidas por parte de consultorías y empresas, y se dirigen fundamentalmente hacia las pequeñas y medianas empresas, entidades sin ánimo de lucro, autónomos, etc., empleando para ello las sanciones establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). En cuanto al hecho de distinguir dichas prácticas y cuáles son los riesgos que conllevan, en puridad, se oferta la implantación protección de datos a coste cero pero, en algunos casos, la pretendida adecuación puede estar realizándose, entregando al cliente unos formularios ya cumplimentados con los que supuestamente pueda «cumplir el expediente». Formando parte del servicio publicitado, se puede incluir, en particular, la puesta a disposición de un Delegado de Protección de Datos, haciendo creer que su nombramiento es siempre obligatorio, cuando disponer de un Delegado de Protección de Datos no es obligado en todos los casos, tal como estipula el art. 34 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. A ello, cabe unir que la decisión acerca del mejor modo de realizar la adecuación debería tomarse en base al tipo de entidad, en función del tratamiento de datos que realicen y de los recursos humanos y materiales de los que se disponga.
En lo concerniente a la competencia para investigar las conductas que pudiesen vulnerar la Ley 15/2007, de 3 de julio, de Defensa de la Competencia, y en su caso, sancionar las posibles infracciones, tal como acaece con el ofrecimiento de una adecuación completa a la legislación en materia de protección de datos personales a un precio muy bajo −o incluso gratis-, correspondería la misma a la Comisión Nacional de los Mercados y de la Competencia.
Asimismo, la contratación del servicio de implantación protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, de suyo, podría derivar en infracciones que se sancionarían por la Inspección de Trabajo y Seguridad Social.
Por lo que respecta al cumplimiento de obligaciones tributarias por parte de las empresas en la implantación protección de datos a coste cero, tanto de quien oferta el servicio como de quien lo solicita, las actividades formativas dirigidas a los empleados están exentas de tributación por el Impuesto del Valor Añadido (IVA), mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación como la de protección de datos personales sería del 21%.
Con todo lo anterior, lo recomendable, tal como aduce la Agencia Española de Protección de Datos, antes de la implantación de protección de datos a coste cero, sería informarse sobre sus obligaciones y cuál es el modo más seguro para su empresas de cumplir con ellas. Es conveniente que si quieren implantar servicios de adecuación a la normativa de protección de datos se aseguren de que los servicios que le ofrecen las empresas consultoras en materia de protección de datos no incurran en las prácticas mencionadas anteriormente.
Espero haberlo ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com
Respuesta del participante:
18.08.23
Agradecemos la detallada información de la respuesta y el interés por resolver nuestra duda. No obstante, la respuesta no entra en el fondo de la cuestión que planteamos que, concretamente, es si la reducción del precio de la implantación de datos por contratar una formación diferente al tema de la protección de datos e impartida por otra empresa diferente, incurren en alguna ilegalidad.
La respuesta nos aclara otros supuestos, que agradecemos, pero no el que preguntamos concretamente.