Cómo cumplir y adaptarse al RGPD gratis
CÓMO CUMPLIR Y ADAPTARSE AL RGPD GRATIS
Si has llegado hasta aquí buscando información sobre cómo adaptar tu empresa para cumplir el RGPD GRATIS o a precios muy bajos, te contamos en este sitio web cómo puedes hacerlo (accede clicando en la imagen):
¿No es lo que esperabas?
¿No es lo que te han contado?
¿Piensas que queremos engañarte?
Contéstate a ti mismo estas preguntas:
- ¿Por qué a ti te sale gratis (o casi) un servicio que otros compañeros de profesión, negocios como el tuyo, empresas con la misma actividad, deben abonar todos los años?
- ¿Por qué te cuenta tu vecino que están adaptándose al RGPD y están teniendo que rediseñar sus formularios y otros documentos, la página web y están revisando sus tratamientos cuando en tu caso, con poner las “coletillas” que te han facilitado en tus documentos ya estás cumpliendo?
- ¿Para qué quieren tus colegas de profesión ese montón de plantillas de documentos diferentes e informes que te cuentan que necesitan si tú, con la “Evaluación de impacto” que tienes en la estantería ya tienes todo incluido?
- ¿Por qué se complican tanto la vida para cumplir si tú tienes un “Certificado de cumplimiento” que dice que ya estás cumpliendo el RGPD?
En serio, ¿no ves nada raro en todo ésto? ¿Piensas que lo que te cuenta nuestra Asociación (APEP, Asociación Profesional Española de Privacidad) no es cierto?
"Entonces ¿no pueden hacer mis empleados un curso bonificado y que esta empresa a cambio me adapte gratis al RGPD?"
Efectivamente, no puedes porque es ilegal y estás cometiendo un fraude.
Esto no es nuevo, se viene denunciando desde 2010. Desde entonces se persigue y se sanciona a las empresas que se benefician de obtener unos servicios gratuitos a cambio de la contratación de cursos de formación bonificados y conllevan las inspecciones y sanciones de Hacienda, el Servicio Público de Empleo Estatal, la Seguridad Social y Trabajo. También las que pueda imponerte la propia AEPD, ya que estás muy lejos de cumplir con tus obligaciones en cuanto a las normativas de protección de datos.
Si no quieres tener todos estos problemas, revisa la información que te proporcionamos, busca por ti mismo todos estos documentos, visita todas las webs que te indicamos, sigue las recomendaciones de la APEP y descarga sus decálogos aquí, nos lo agradecerás.
"¿No existe algún sistema para hacer este proceso de forma gratuita?"
Claro que puedes adaptar tu empresa para que cumpla el RGPD gratis si puedes aplicar la herramienta “FACILITA” que la AEPD pone a tu disposición en su página web: www.aepd.es, pero debes saber que esta herramienta tiene algunas limitaciones y que no podrás utilizarla en todos los casos:
- Está destinada a empresas que realizan tratamientos de datos personales que implicarían escaso nivel de riesgos (tratamientos de datos de contacto y facturación de los clientes o proveedores de una pequeña empresa de servicios; datos de sus empleados con la finalidad del mantenimiento de una relación laboral…).
- Solo pueden utilizarla las empresas que tratan datos personales básicos (nombres, direcciones postales o electrónicas, DNI, teléfono, cuenta corriente, fecha de nacimiento, puesto de trabajo…) No pueden utilizarla quienes traten datos especialmente protegidos (origen étnico o cultural, opiniones políticas, religiosas y filosóficas, orientación sexual, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud, datos de naturaleza penal…)
- Los documentos resultantes de la ejecución de este programa son los mínimos indispensables para facilitar el cumplimiento del RGPD.
- Tal como se indica en la página de introducción y acceso al programa, su uso no garantiza el pleno cumplimiento del RGPD.
Si no te encuentras entre estos supuestos, pero te han ofrecido el cumplimiento de las obligaciones del RGPD gratis, antes de aceptar la oferta, por muy tentadora que te parezca, deberías tener en cuenta las siguientes recomendaciones:
Agencia Española de Protección de Datos:
FUNDAE (Fundación Estatal para la formación en el Empleo, antes Fundación Tripartita:
La FUNDAE ha venido publicando activamente advertencias sobre el uso indebido de los fondos de formación para la prestación de servicios desde el año 2010. En antiguos posts en nuestro blog puedes encontrar estos comunicados.
"Pero, si esto no es legal, ¿por qué me lo ofrecen?"
Los cursos de formación bonificada impartidos por entidades de formación con el único propósito de que tu empresa esté mejor preparada y tus empleados mejor formados, son totalmente legales y son la inmensa mayoría. Nosotros también disponemos de una amplia oferta de cursos de formación bonificada que puedes consultar, pero no esperes servicios gratuitos a cambio de su contratación.
El problema está en que también existen empresas que se dedican a incumplir las normas con estas prácticas y ahí es donde está la diferencia. También puedes encontrarte con empresas que te fuerzan a la contratación de sus servicios bajo amenazas de sanciones muy elevadas de la AEPD, incluso, los hay que intentan suplantar a la Agencia.
Todo lo que te estamos contando, aparece reflejado en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales:
Disposición adicional decimosexta. Prácticas agresivas en materia de protección de datos.A los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, se consideran prácticas agresivas las siguientes:a) Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.b) Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.c) Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.d) Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.e) Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos.
Por lo tanto, si te están amenazando con cuantiosas sanciones por incumplimiento, si te obligan a contratar los cursos año tras año para prestarte estos "servicios de adaptación" gratuitos, si te han enviado una comunicación o han contactado contigo para, supuestamente enviarte a un inspector de la AEPD o a sus técnicos: DENUNCIA: si no lo haces, el denunciado puedes ser tú.
Resumiendo
- No puedes adaptar tu empresa por medio de un curso de formación que hagan tus empleados, incluso si el curso está relacionado con la materia (en la mayoría de los casos no es así), ya que tus obligaciones no puedes trasladarlas a tus empleados.
- Adaptarse no consiste en un “copia y pega” de textos. Las políticas informativas deben estar personalizadas para tu empresa.
- La mayoría de las empresas (PYMES, profesionales y autónomos) no precisan nombrar Delegado de protección de datos (DPO o DPD). Consulta aquí la información de la AEPD. Otra cosa es que la empresa quiera nombrarlo de forma voluntaria, pero este servicio, ni está incluido en el proceso de adaptación ni es gratuito.
- Solo en determinados casos se debe realizar una “Evaluación de impacto relativa a la Protección de Datos (EIPD o PIA)”. El RGPD prevé que las Evaluaciones de Impacto se lleven a cabo “antes del tratamiento” en los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados. De esa evaluación puede surgir la necesidad de consultar con la AEPD si el tratamiento puede llevarse a cabo. Para la realización de este tipo de informe debe constituirse un grupo de trabajo formado por el Responsable, su DPO y otros técnicos (encargados de la seguridad, área de tecnología, asesoría jurídica y responsables de otras áreas implicadas en el tratamiento). Muchas de estas empresas te presentarán un informe con esta denominación, que no es, ni de lejos, lo que el RGPD prevé (consulta aquí la información de la AEPD). Además, en tu caso y de nuevo, gratis.
- Sí debes disponer de un informe que evalúe los riesgos en cada uno de los tratamientos que realizas, no en uno específico que tienes previsto realizar, que es el caso anterior, así como otros documentos que te permitan aportar evidencias de cumplimiento (acuerdos de confidencialidad, contratos con encargados del tratamiento, contratos como encargado del tratamiento cuando tú lo seas de tus clientes, tu política de información personalizada, tu política de seguridad y de privacidad, protocolos para el ejercicio de derechos, para la gestión de incidencias, para la comunicación de brechas...).
- Ya no se inscriben ficheros en el Registro General de Protección de Datos, ya que éste se cerró en mayo de 2018 (ver aquí nota de la AEPD). En cambio, muchas de estas empresas, siguen informando, incluso en sus sitios web, que realizan el registro de ficheros. En cambio, del "Registro de Actividades del Tratamiento” que te indica la AEPD en la página mencionada, no te cuentan nada.
- Los “Certificados de cumplimiento” no existen. Las únicas certificaciones en la materia serán las emitidas por los organismos de certificación bajo los esquemas de seguridad admitidos (ISO, ENS) o las que se dispondrán en el futuro según lo que prevé el art. 42.1 del RGPD. Cualquier otro documento, no es válido.