Pràctiques agressives en protecció de dades
La competència deslleial existeix en la majoria dels sectors, relacionant-se normalment amb casos de dúmping, engany o confusió. Lamentablement, també s'han detectat casos d'accions comercials abusives a aquest camp.
La mateixa APEP (Associació Espanyola de Protecció de Dades) va informar que s'havien detectat casos de trucades fraudulentes a empreses, suposadament per part de l'AEPD (Agència Espanyola de Protecció de Dades), en què se'ls feia pagar presumptes multes.
Per la dimensió del problema, la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD) ha inclòs la disposició addicional setzena, partint de la Llei 3/1991, de 10 de gener, de competència deslleial, on s'estipulen com a tals, les pràctiques agressives en la matèria de la protecció de dades realitzades per suposats consultors de privacitat a responsables (RT) o encarregats del tractament (ET).
Aquestes pràctiques agressives consisteixen en:
- Suplantar la identitat o aparentar que s'actua en nom de l'AEPD, en les comunicacions als RT i ET o als interessats.
- Utilitza la tàctica de la por cap a possibles multes de l'AEPD, coartant el poder de decisió dels destinataris, fent referència a la possible imposició de sancions per incompliment de la normativa.
- Oferir acreditacions o certificats de compliment falsament, sense dur a terme les accions indispensables per verificar que aquest compliment es produeix efectivament.
- Els RT i ET podran adherir-se als mecanismes de certificació establerts en l'art. 42 GDPR per demostrar el compliment.
- Els RT i ET podran emetre els seus propis certificats de compliment sota la seva responsabilitat.
- Els consultors de privacitat només podran emetre certificats de formació.
- Assumir la funció de delegat de protecció de dades (DPO) sense estar designat expressament pel RT o ET, autonombrándose DPO o comunicant-se amb l'Autoritat de control com DPO
Com veiem, les empreses que es dediquen a coaccionar telefònicament atemorint amb sancions, a realitzar implementacions a cost zero, a oferir certificats de compliment sense fonament, o a titular-se com DPO sense respectar la normativa, no tenen cap garantia.
Per això cal verificar sempre la professionalitat i la qualitat dels serveis de privacitat, i denunciar a l'AEPD les empreses que apliquin pràctiques deslleials per tal de prevenir el frau i evitar la banalització de la protecció de dades personals.
Normativa aplicable
Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD)
Disposició addicional setzena. Pràctiques agressives en matèria de protecció de dades.
Als efectes que preveu l'article 8 de la Llei 3/1991, de 10 de gener, de competència deslleial, es consideren pràctiques agressives les següents:
a) Actuar amb intenció de suplantar la identitat de l'Agència Espanyola de Protecció de Dades o d'una autoritat autonòmica de protecció de dades en la realització de qualsevol comunicació als responsables i encarregats dels tractaments o als interessats.
b) Generar l'aparença que s'està actuant en nom, per compte o en col·laboració amb l'Agència Espanyola de Protecció de Dades o una autoritat autonòmica de protecció de dades en la realització de qualsevol comunicació als responsables i encarregats dels tractaments en què la remitent ofereixi els seus productes o serveis.
c) Realitzar pràctiques comercials en què es coarti el poder de decisió dels destinataris mitjançant la referència a la possible imposició de sancions per incompliment de la normativa de protecció de dades personals.
d) Oferir qualsevol tipus de document pel qual es pretengui crear una aparença de compliment de les disposicions de protecció de dades de forma complementària a la realització d'accions formatives sense haver dut a terme les actuacions necessàries per verificar que aquest compliment es produeix efectivament.
e) Assumir, sense designació expressa del responsable o l'encarregat del tractament, la funció de delegat de protecció de dades i comunicar-se en aquesta condició amb l'Agència Espanyola de Protecció de Dades o les autoritats autonòmiques de protecció de dades.
Llei 3/1991, de 10 de gener, de competència deslleial
Article 8. Pràctiques agressives.
1. Es considera deslleial tot comportament que tenint en compte les seves característiques i circumstàncies, sigui susceptible de minvar de manera significativa, mitjançant persecució, coacció, inclòs l'ús de la força, o influència indeguda, la llibertat d'elecció o conducta del destinatari en relació al bé o servei i, per tant, afecti o pugui afectar el seu comportament econòmic.
A aquests efectes, es considera influència indeguda la utilització d'una posició de poder en relació amb el destinatari de la pràctica per exercir pressió, fins i tot sense usar força física ni amenaçar amb el seu ús.
2. Per determinar si una conducta fa ús de l'assetjament, la coacció o la influència indeguda es tindran en compte:
a) El moment i el lloc en què es produeix, la seva naturalesa o la seva persistència.
b) L'ús d'un llenguatge o un comportament amenaçador o insultant.
c) L'explotació per part de l'empresari o professional de qualsevol infortuni o circumstància específics prou greus com per minvar la capacitat de discerniment del destinatari, dels quals aquell tingui coneixement, per influir en la seva decisió respecte al bé o servei.
d) Qualsevols obstacles no contractuals onerosos o desproporcionats imposats per l'empresari o professional quan l'altra part desitgi exercitar drets legals o contractuals, inclosa qualsevol forma de posar fi al contracte o de canviar de bé o servei o de subministrador.
e) La comunicació que es va a realitzar qualsevol acció que, legalment, no pugui exercir-se.