¡Pide presupuesto en 2 min! ✓
Denuncias & Sanciones

Prácticas agresivas en materia de protección de datos

6 Mins read

En los últimos meses, hemos oído hablar mucho sobre un tema hasta el momento desconocido, y es “ La Protección de Datos”. Este hecho ha dado lugar a que un gran número de empresas, consultoras, asesorías, etc., se lancen a su asesoramiento y venta.

Hasta aquí todo es correcto, ya que actualmente en nuestra sociedad, una competencia sana entre entidades de un mismo sector es lo que hace que exista el libre mercado, y por tanto, que la oferta y demanda fluctúen al ritmo que el consumidor dicta (o al menos, esa es la teoría).

He aquí el “pero” a una competencia sana, y es que tras la entrada en vigor del Reglamento General de Protección de Datos (en adelante RGPD), han sido muchas las entidades que han utilizado prácticas de dudosa ética para conseguir una venta. Tal magnitud han tenido estas prácticas que la Ley Orgánica 3/2018, de 5 diciembre, de Protección de Datos y garantía de de los derechos digitales (en adelante LOPDGDD) ha incluido una disposición única y exclusivamente orientada a regular estas conductas y que modifica el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, incluyendo nuevos supuestos de prácticas comerciales agresivas en materia de protección de datos.

Se trata de la Disposición Adicional Decimosexta, cuyo nombre es, “Prácticas Agresivas en materia de protección de datos”.

Pero lo que nos interesa realmente saber es ¿de qué trata y cómo regula realmente las prácticas comerciales esta disposición incluida en la nueva LOPDGDD?

A lo largo de este post intentaremos desarrollar estas y otras muchas cuestiones.

Contenido

Como se mencionaba en las anteriores líneas, el artículo 8 de la Ley de Competencia Desleal, establece en qué ocasiones se considera que una conducta es desleal, siendo: “todo comportamiento que teniendo en cuenta sus características y circunstancias, sea susceptible de mermar de manera significativa, mediante acoso, coacción, incluido el uso de la fuerza, o influencia indebida, la libertad de elección o conducta del destinatario en relación al bien o servicio y, por consiguiente, afecte o pueda afectar a su comportamiento económico.”

La normativa lo deja muy claro:

  • Cualquier comportamiento;
  • Que pueda mermar mediante acoso, coacción, influencia indebida la libertad de elección o conducta del destinatario;
  • Y la consecuencia de ello, sea afectar su comportamiento económico.

Con estas pautas y definiciones debemos añadir lo incluido en la Disposición Adicional Decimosexta, pues se trata de cinco puntos muy importantes y muy recurrentes, que diferentes entidades llevan a la práctica, y de ahí la importancia de su regulación:

  • Intención de Suplantar la identidad de la Agencia Española de Protección de Datos ( en adelante AEPD).
  • Generar la apariencia de que se actúa en nombre o colaboración de la AEPD.
  • Miedo a una sanción por un incumplimiento de normativa por la Agencia, en definitiva Miedo a una sanción por parte de la Agencia.
  • Oferta de Certificados sin llevar a cabo las actuaciones necesarias para garantizar una adecuada adaptación.
  • Asumir, la designación del DPO, sin existir una designación expresa del Responsable o del Encargado.

El legislador, en esta ocasión, ha llevado fuera del control de la Agencia la posibilidad de sancionar estas actividades, siendo por tanto la normativa de competencia desleal, la que pasa a controlar estas conductas.

Después de repasar los cinco puntos indicados en la LOPDDGDD, sería interesante hablar sobre de ellos en mayor profundidad. Por ello, a continuación, procederemos a realizar un análisis de los mismos.

SUPLANTAR LA IDENTIDAD DE LA AGENCIA O AUTORIDAD AUTONÓMICA DE PROTECCIÓN DE DATOS

El punto a) de la Disposición adicional decimosexta de la LOPDGDD recoge este supuesto.

¿Qué se pretende con ello? Evitar que se lleve a cabo prácticas desleales en el mercado.

Estas situaciones se pueden dar cuando diferentes entidades se hacen pasar por la autoridad de control haciendo creer por tanto al remitente que las comunicaciones recibidas son como reales y verdaderas y dichas entidades son realmente parte de la AEPD o cualquier otra autoridad análoga.

Si bien es cierto que en este caso no se exige que el engaño sea dirigido a que exista un riesgo de inducción a error por parte del destinatario, si no que aquí la deslealtad radica en la simple y mera intención de SUPLANTAR estas figuras, al dirigirse a Responsables y Encargados.

APARIENCIA DE QUE SE ACTÚA EN NOMBRE O COLABORACIÓN DE LA AGENCIA

En este caso, la empresa que quiere vender sus servicios, principalmente relacionados con la materia que nos ocupa, intentará aparentar o simular que los productos que oferta se hacen en nombre o con la colaboración de la AEPD.

Viene recogido en el punto b) de la Disposición Adicional Decimosexta de la LOPDGDD.

Es importante recalcar, que en estos casos, la empresa nunca indicará que es la AEPD, o que es algún organismo público de control, no lo van a mencionar expresamente. Pero sí simularán una relación o cercanía con los mismos sumando un valor o un aval a los productos ofertados.

¡OJO!, para que se considera una práctica desleal, se debe conseguir generar en el destinatario un error orientado a una falsa vinculación con estos organismos, dicho de otra forma, se debe exigir un grado de engaño o confusión, suficiente como para lograr este efecto en el destinatario.

MIEDO A SANCIÓN POR PARTE DE LA AGENCIA

Aquí la LOPDGDD lo establece de forma clara en el punto c): ”Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales

Lo que se pretende evitar es que se utilicen el miedo a ser objeto de una sanción administrativa para la venta de servicios o productos relacionados con la materia de protección de datos. Prácticas que alteran notablemente la capacidad de decisión del consumidor por miedo, cuyo miedo viene motivado por una insinuación previa por parte de empresas interesadas en la venta de dichos servicios.

OFERTA DE CERTIFICADOS SIN LLEVAR A CABO LAS ACTUACIONES NECESARIAS

El siguiente punto se traduce principalmente en la acreditación de formación falsamente. El punto d) de la disposición adicional decimosexta de la LOPDGDD, establece que aquellas empresas en las que se ofrezca un certificado o título acreditativo donde se pretenda legitimar la adecuación a la normativa vigente por parte del destinatario sin que se hayan llevado a cabo todas las acciones necesarias para poder acreditarlo realmente, se considerará una práctica desleal.

FUNCIONES COMO DPO SIN DESIGNACIÓN EXPRESA

Llegamos al último punto, donde aquí realmente lo que se considera una práctica desleal es: “Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos”.

Lo que busca el punto e) es evitar que personas que no haya sido designadas de forma oficial como Delegados de Protección de Datos, intervengan ante la AEPD. Dando paso por tanto a la necesidad de ser designado de forma oficial por parte del Responsable o Encargado como DPO para poder interactuar con la AEPD en nombre de los mismos.

Preguntas Frecuentes

¿Realmente se utilizan estas prácticas?

La respuesta es rotundamente SI.

Nos hemos ido encontrando a lo largo de los últimos meses con situaciones en las que nuestros clientes son en ocasiones intimidados con diversas prácticas que ahora con la Ley de Protección de Datos en la mano, son consideradas Prácticas Agresivas.

Por ello es importante informar a la población sobre dichas prácticas y situaciones.

¿Cuáles son las prácticas más comunes?

Cualquiera de ellas podría ser utilizadas, pero desde nuestra experiencia, podríamos afirmar que los puntos b), c) y d) son las más comunes.

Estos tres puntos son los más fáciles de realizar, y los más difíciles de comprobar. Es decir, si una empresa insinúa que trabaja con la AEPD de tal forma que el destinatario puede llegar a modificar sus hábitos de consumo no habría ninguna manera de comprobar que realmente este cambio ha sido por una asociación previamente insinuada por parte de la empresa.

Lo mismo pasaría con los otros dos puntos, de alguna manera las prácticas desleales podrían ser “fácilmente tapadas”.

¿La Agencia Española de Protección de Datos puede sancionarme?

Por supuesto, la AEPD es el órgano de control en materia de protección de datos, y por tanto tiene poder sancionador, pero nunca sanciona a través de una empresa privada, ni se pondrá en contacto a través de una llamada de teléfono, ni coacciona para la compra de un servicio.

Si en algún momento reciben llamadas de teléfono haciéndose pasar por la Agencia, o por entidades colaboradoras, tengan por seguro que puede tratarse de una práctica comercial agresiva.

Related posts
Denuncias & Sanciones

Denuncia de Protección de Datos a la AEPD

4 Mins read
¿Están usando tus datos de manera fraudulenta? ✅ Te explicamos cómo hacer una denuncia de protección de datos ante la AEPD ¡Entra ahora!
Denuncias & Sanciones

¿Cuál fue el importe de la multa a las primeras empresas que incumplieron el RGPD?

4 Mins read
El 2018 podemos definirlo como “el año de la Protección de Datos”. Por todas vimos noticias sobre filtraciones, abusos y fugas de…
Denuncias & Sanciones

Cómo evitar una denuncia de protección de datos

7 Mins read
Todas aquellas empresas o autónomos que almacenen datos de clientes y proveedores deben cumplir con la normativa vigente en protección de datos….

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.