Skip links

La regulación de las prácticas agresivas en la protección de datos

La Agencia Española de Protección de Datos (AEPD) no solo se encarga de perseguir los incumplimientos de las normativas que son de su competencia, sino que también vela por evitar la comisión de prácticas agresivas. Hay que tener en cuenta que permitirlas, además de un perjuicio para los usuarios, supondría un desprestigio, por omisión, para la institución.

Unos supuestos incluidos en la LOPDGDD

La Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales, tipifica situaciones en las que van a ser detectadas las malas prácticas citadas en la introducción. Conviene recordar que la LOPGDD, que está en vigor desde el 6 de diciembre de 2018, constituye la normativa que adapta y desarrolla el Reglamento Europeo de Protección de Datos (RGPD) en el marco del ordenamiento jurídico español.

Así protege la LOPD 2019 ante las prácticas abusivas

A grandes rasgos, se trata de una protección que la LOPD 2019 proporciona a los usuarios frente a las actuaciones fraudulentas en materia de consultoría de protección de datos (lo que se conoce en el argot como LOPD Coste 0).

A continuación se desgranan las que aparecen en la disposición adicional 16ª:

– La suplantación de la identidad tanto de la AEPD como de las autoridades autonómicas de protección de datos a la hora de comunicarse con los interesados o los encargados y responsables de los tratamientos.

– Aparentar que se ofrecen productos y servicios a los citados encargados y responsables en nombre, por cuenta o colaborando con una de las reseñadas autoridades de control.

– Amenazar, como una especie de campaña comercial, con la imposición de sanciones por incumplimientos de las leyes de protección de datos.

– Ofrecimiento de documentación acreditativa, sin haber sido verificada la autoridad a estos efectos, para aparentar un cumplimiento de los requisitos de protección de datos complementario a la organización de actividades de formación.

– Asunción, sin que se haya producido ningún nombramiento expreso del encargado o responsable del tratamiento ni ninguna comunicación a las autoridades de protección de datos, de la función de Delegado de Protección de Datos (DPO).

Un ejemplo de fraude de estas características

Por último, resulta interesante remitirse a un caso práctico que muestre qué disfunciones provocan estas técnicas de ingeniería social.

En este aspecto, la Asociación Profesional Española de Privacidad (APEP) ha detectado la realización de un tipo concreto de llamadas telefónicas intimidatorias. Se trata de una estafa caracterizada por el hecho de que sus impulsores se identifican como colaboradores de la AEPD (bajo el nombre, en este caso, de Registro de Implantación Normativo).

Informan sobre una sanción por incumplimiento de las leyes protectoras de datos y solicitan un trámite urgente: el de abonar entre 250 y 350 euros en menos de 24 horas.

En definitiva, prácticas agresivas que conviene conocer y son perseguidas y sancionadas por la nueva LOPD.