Asesores irregulares ofrecen auditorías a empresas aprovechándose del miedo de estas a ser sancionadas por incumplir las políticas en protección de datos.
Empresas (especialmente pymes) que, por miedo y desconocimiento, contratan los servicios de estos supuestos asesores y, aunque estas creen que han regularizado su situación, no las excluye de recibir una cuantiosa multa de la Agencia Española de Protección de Datos (AEPD) de hasta 600.000 € o, con el nuevo reglamento que la UE quiere modificar, podría cambiar a multas de hasta el 4% de la facturación de la empresa implicada.
Tengan en cuenta:
- Las sanciones de la AEPD pueden ascender hasta los 600.000 € y el nuevo reglamento de la Unión Europea (pendiente de aprobar) quiere modificar y fijarla hasta el 4% de la facturación.
- Para evitar sanciones los auditores/consultores deben cumplir unos mínimos de estándares de calidad.
- Es básico estar asesorado por un profesional especializado y certificado en protección de datos y privacidad.
Estos supuestos asesores que se aprovechan del miedo y el desconocimiento llegan a realizar auditorías telefónicas exprés. Según la AEPD “es imposible obtener los resultados establecidos en la normativa de protección de datos con una auditoría de medidas de seguridad mediante vía telefónica”; esto es así porque “una auditoría de los ficheros de seguridad de nivel medio y/o alto implica necesariamente realizar comprobaciones en los sistemas de información auditado, algo impensable de realizar por vía telefónica”.
Este tipo de actuaciones de dudosa legalidad no son las únicas. Hace unos años se hizo una denuncia de unos hechos consistentes en extorsiones a pymes amenazándolas de que serían denunciadas a la AEPD si no contrataban sus servicios de asesoramiento.
Otros casos descubiertos son a consultoras que emiten su propio certificado de calidad para hacer creer a las empresas que con ello ya no deben preocuparse por las sanciones cuando, evidentemente, no está garantizado que así sea.
El problema es que no se valora el asesoramiento en el tema de protección de datos, como si una auditoría de seguridad pudiera hacerla cualquiera. Lo que venden estas asesorías es que basta con inscribir unos cuantos ficheros y diseñar políticas de cumplimiento, desgraciadamente sin ni siquiera adaptarlas a cada empresa.
Adaptar la empresa a la normativa de Protección de Datos requiere, a parte del trabajo del consultor, también el del cliente y el cumplimiento se debe mantener siempre, no es algo puntual. Por otro lado aplicar la Ley de Protección de Datos a una empresa requiere adaptarse a esta, no sirve copiar la metodología de otra organización.