Prácticas agresivas en protección de datos


Josep Aragonés Salvat     16/10/2019



La competencia desleal existe en la mayoría de los sectores, relacionándose normalmente con casos de dumping, engaño o confusión. Lamentablemente, también se han detectado casos de acciones comerciales abusivas en este campo.

La misma APEP (Asociación Española de Protección de Datos) informó que se habían detectado casos de llamadas fraudulentas a empresas, supuestamente por parte de la AEPD (Agencia Española de Protección de Datos), en las que se les hacía pagar presuntas multas.

Por la dimensión del problema, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) ha incluido la Disposición adicional decimosexta, partiendo de la Ley 3/1991, de 10 de enero, de Competencia Desleal, donde se estipulan como tales, las prácticas agresivas en la materia de la protección de datos realizadas por supuestos consultores de privacidad a responsables (RT) o encargados del tratamiento (ET).


Dichas prácticas agresivas consisten en:

  • Suplantar la identidad o aparentar que se actúa en nombre de la AEPD, en las comunicaciones a los RT y ET o a los interesados.
  • Usar la táctica del miedo hacia posibles multas de la AEPD, coartando el poder de decisión de los destinatarios, haciendo referencia a la posible imposición de sanciones por incumplimiento de la normativa.
  • Ofrecer acreditaciones o certificados de cumplimiento falsamente, sin llevar a cabo las acciones indispensables para verificar que dicho cumplimiento se produce efectivamente.
    • Los RT y ET podrán adherirse a los mecanismos de certificación establecidos en el art. 42 GDPR para demostrar el cumplimiento.
    • Los RT y ET podrán emitir sus propios certificados de cumplimiento bajo su responsabilidad.
    • Los consultores de privacidad solo podrán emitir certificados de formación.
  • Asumir la función de delegado de protección de datos (DPO) sin estar designado expresamente por el RT o ET, autonombrándose DPO o comunicándose con la Autoridad de control como DPO


Como vemos, las empresas que se dedican a coaccionar telefónicamente atemorizando con sanciones, a realizar implementaciones a coste cero, a ofrecer certificados de cumplimiento sin fundamento, o a titularse como DPO sin respetar la normativa, no tienen ninguna garantía.

Por eso hay que verificar siempre la profesionalidad y la calidad de los servicios de privacidad, y denunciar a la AEPD las empresas que apliquen prácticas desleales por tal de prevenir el fraude y evitar la banalización de la protección de datos personales.


Normativa aplicable

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

Disposición adicional decimosexta. Prácticas agresivas en materia de protección de datos.

A los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, se consideran prácticas agresivas las siguientes:

a) Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.
b) Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.

c) Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.

d) Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.

e) Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos.


Ley 3/1991, de 10 de enero, de Competencia Desleal

Artículo 8. Prácticas agresivas.

1. Se considera desleal todo comportamiento que teniendo en cuenta sus características y circunstancias, sea susceptible de mermar de manera significativa, mediante acoso, coacción, incluido el uso de la fuerza, o influencia indebida, la libertad de elección o conducta del destinatario en relación al bien o servicio y, por consiguiente, afecte o pueda afectar a su comportamiento económico.

A estos efectos, se considera influencia indebida la utilización de una posición de poder en relación con el destinatario de la práctica para ejercer presión, incluso sin usar fuerza física ni amenazar con su uso.

2. Para determinar si una conducta hace uso del acoso, la coacción o la influencia indebida se tendrán en cuenta:

a) El momento y el lugar en que se produce, su naturaleza o su persistencia.

b) El empleo de un lenguaje o un comportamiento amenazador o insultante.

c) La explotación por parte del empresario o profesional de cualquier infortunio o circunstancia específicos lo suficientemente graves como para mermar la capacidad de discernimiento del destinatario, de los que aquél tenga conocimiento, para influir en su decisión con respecto al bien o servicio.

d) Cualesquiera obstáculos no contractuales onerosos o desproporcionados impuestos por el empresario o profesional cuando la otra parte desee ejercitar derechos legales o contractuales, incluida cualquier forma de poner fin al contrato o de cambiar de bien o servicio o de suministrador.

e) La comunicación de que se va a realizar cualquier acción que, legalmente, no pueda ejercerse.