¿Cómo se deben tratar nuestros datos médicos? Nueva guía de la AEPD.

/en , , /por

La Agencia Española de Protección de Datos (AEPD) ha publicado la «Guía para pacientes y usuarios de la sanidad», un documento que da respuesta a las dudas más frecuentes que suelen plantearse los ciudadanos cuando se tratan sus datos personales por parte de centros, administraciones y profesionales sanitarios y que tiene por objeto facilitarles el conocimiento de sus derechos.

La guía aborda en su primera parte cuestiones generales de la normativa de protección de datos que se aplican a los tratamientos de datos de salud, indicando asimismo qué derechos tienen los pacientes y usuarios de la sanidad en relación con el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018. Así, el documento destaca la obligatoriedad de facilitar información al usuario, recogiendo los distintos puntos que deben facilitarse de forma concisa, transparente, inteligible y con un lenguaje claro y sencillo. A ello se suman los principios que deben cumplirse en el tratamiento de datos personales, cuestiones comunes a los derechos de los usuarios (obligación de atenderlo, plazo, gratuidad, etc.) y cuestiones específicas referidas al acceso a la historia clínica.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL.

FUENTE ORIGINAL: AEPD

La AEPD presenta un canal prioritario para comunicar la difusión de contenido sensible en internet y solicitar su retirada

/en /por

La Agencia Española de Protección de Datos ha presentado presentado un canal prioritario para comunicar la difusión de contenido sensible en internet y solicitar su retirada. Desde la AEPD se comunica que si tiene conocimiento de la existencia de determinadas imágenes de contenido sexual o que muestran actos de agresión, cuya difusión sin el consentimiento de las personas afectadas está poniendo en ALTO RIESGO sus derechos y libertades, y no ha logrado su retirada a través de los canales especialmente previstos por el prestador de servicios, puede presentar una reclamación.

ACCEDER A TODA LA INFORMACIÓN DEL CANAL

FUENTE: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

La AEPD publica el listado de tratamientos en los que no es necesario realizar una evaluación de impacto

/en , /por

La AEPD publica el listado de tratamientos en los que no es necesario realizar una evaluación de impacto
dortega
Lun, 09/09/2019

9 de Septiembre de 2019
La AEPD ha elaborado esta lista para ayudar a los responsables a identificar los tratamientos en los que no es obligatorio realizar una Evaluación de impacto en la protección de datos
El listado completo de estos tratamientos puede consultarse aquí

(Madrid, 4 de septiembre de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado el listado de tratamientos de datos personales en los que no es obligatoria la realización de una evaluación de impacto, con el objetivo de facilitar a los responsables la identificación de este tipo de tratamientos. El Reglamento General de Protección de Datos (RGPD) recoge en su artículo 35.1 que las organizaciones que traten datos están obligadas a realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de efectuar dichos tratamientos cuando sea probable que, en función de su naturaleza, alcance, contexto o fines, entrañen un alto riesgo para los derechos y libertades de las personas.

 Por otra parte, el apartado 5 del mismo artículo establece que las autoridades de control podrán publicar la lista de los tipos de tratamiento que no requieren una evaluación de impacto. Asimismo, y como contempla el RGPD, la Agencia ha comunicado al Comité Europeo de Protección de Datos (CEPD) el listado, que también se encuentra disponible en 

ingls

. Esta lista, que no exime de cumplir el resto de obligaciones establecidas en la normativa de protección de datos, complementa a la publicada con anterioridad por la Agencia donde figuran aquellos tratamientos en los que sí es obligatorio llevar a cabo una EIPD.

 La Agencia ha definido que no será necesario realizar una EIPD cuando se realicen tratamientos bajo directrices contenidas en circulares o decisiones emitidas previamente por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.

 Tampoco se requiere si el tratamiento se realiza cumpliendo con códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, siempre que ya se hubiera llevado a cabo una EIPD para validar dicho código de conducta e incluyera las salvaguardas definidas en la Evaluación de Impacto.

 Dentro de los tratamientos que forman parte del listado también se encuentran, entre otros, aquellos que lleven a cabo los trabajadores autónomos que ejerzan de manera individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando dichos tratamientos cumplan con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren EIPD; así como los obligatorios por ley y realizados con relación a la gestión interna del personal de las pymes con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.

 Las Evaluaciones de impacto

El Reglamento establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas incumbe al responsable del tratamiento realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.

 La AEPD ha publicado con anterioridad distintos recursos para facilitar el cumplimiento de esta obligación, como la Guía para las evaluaciones de impacto en la protección de datos personales; la lista de tipos de tratamientos de datos que requieren EIPDGestiona, una herramienta para realizar análisis de riesgos y evoluciones de impacto, o el modelo de informe de EIPD para Administraciones Públicas.

La Agencia Española de Protección de Datos se suma a la Carta de Derechos Digitales de Niños, Niñas y Adolescentes promovida por la Fundación Anar

/en , /por

La Agencia Española de Protección de Datos se suma a la Carta de Derechos Digitales de Niños, Niñas y Adolescentes promovida por la Fundación Anar
dortega
Lun, 09/09/2019

9 de Septiembre de 2019
La ‘Carta de Derechos Digitales de Niños, Niñas y Adolescentes’ busca promover un entorno digital seguro para el pleno desarrollo de los menores de edad

(Madrid 29 de julio de 2019). , La Agencia Española de Protección de Datos (AEPD) se ha sumado a la Carta de Derechos Digitales de los Niños, Niñas y Adolescentes’, un catálogo de Principios y Derechos promovido por Fundación ANAR en el que se recoge, de forma explícita, las garantías que deben amparar a los menores de edad en su relación con las tecnologías. 

Los niños/as y adolescentes están especialmente expuestos a los retos de la digitalización: aunque por sus habilidades digitales, están en una posición aventajada para beneficiarse de todas las oportunidades que la tecnología ofrece y ofrecerá en los próximos años, su vulnerabilidad frente a situaciones de riesgo se incrementa.

Así lo demuestran fenómenos sobre los que Fundación ANAR lleva tiempo actuando como el ciberacoso: ‘cyberbullying’, ‘grooming’ o sexting o el problema de los contenidos online que promueven autolesiones, ideación suicida, anorexia o bulimia o actividades de riesgo extremo, por citar solo algunos de los más preocupantes.

La AEPD ha puesto en marcha multitud de acciones en los últimos años para promover y fomentar la educación digital de los menores, con el lanzamiento de materiales y proyectos para concienciar sobre la importancia de la privacidad y el valor de los datos personales, la identidad digital, el uso de las redes sociales y las situaciones de riesgo como el ciberbullying, el grooming y el sexting. Además, la Agencia ha impulsado que se estableciera en la nueva Ley 3/2018 la enseñanza del uso responsable de las nuevas tecnologías en las escuelas, reforzando las obligaciones del sistema educativo para garantizar la plena inserción del alumnado en la sociedad digital y en el aprendizaje de un uso de seguro de los medios digitales, incluyendo una formación específica en los currículums académicos y exigiendo que el profesorado reciba formación adecuada.

«El apoyo institucional a la ‘Carta de Derechos Digitales de los Niños, Niñas y Adolescentes’ de la Fundación ANAR supone respaldar y apoyar a una organización que lleva 48 años defendiendo los derechos de los menores en diferentes ámbitos. La educación digital, en un momento en el que los jóvenes hacen un uso intensivo de la tecnología en muchos casos sin ser conscientes de los riesgos, es un elemento primordial”, destaca Mar España, directora de la Agencia Española de Protección de Datos.

“Según viene detectándose desde Fundación ANAR, la tecnología afecta de una forma transversal a la mayor parte de los problemas de la infancia y muchas veces los potencia”, alerta Benjamín Ballesteros, director de programas de Fundación ANAR.

La ‘Carta de Derechos Digitales de los Niños, Niñas y Adolescentes’ consta de un preámbulo y diez apartados en los que se abordan asuntos como el derecho a la privacidad, al borrado de la huella digital, a la seguridad de los dispositivos o a la protección frente a la violencia, y que traslada los Derechos de los Niños y Niñas reconocidos en Tratados Internacionales y en la legislación española al ámbito digital.

La ‘Carta de Derechos Digitales de los Niños, Niñas y Adolescentes’ está disponible en la página web de Fundación ANAR y está abierta a que cualquier persona o entidad pueda suscribirla con su firma.

La AEPD y ADiReLab firman un protocolo para fomentar el cumplimiento de la normativa de protección de datos entre las empresas

/en , /por

La AEPD y ADiReLab firman un protocolo para fomentar el cumplimiento de la normativa de protección de datos entre las empresas
dortega
Vie, 09/06/2019

6 de Septiembre de 2019
La Agencia facilitará a la Asociación de Directivos de Relaciones Laborales las herramientas, guías y publicaciones que puedan ayudar a las empresas en el cumplimiento de las obligaciones derivadas de la normativa
ADiReLab se compromete a difundir estos materiales entre sus asociados, así como a promover la adaptación al nuevo marco normativo

(Madrid, 6 de septiembre de 2019). La directora de la Agencia Española de Protección de Datos, Mar España, y el presidente de la Asociación de Directivos de Relaciones Laborales, Antonio de la Fuente, han suscrito un Protocolo General de Actuación entre la AEPD y ADiReLab para fomentar el cumplimiento del Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, así como para ofrecer a las empresas recursos que les faciliten las obligaciones derivadas de esta normativa.

El Reglamento y la Ley Orgánica 3/2018 han establecido un nuevo escenario regulatorio para las empresas y organizaciones que hacen tratamientos de datos personales. Una de las consecuencias con mayor repercusión es la introducción del principio de ‘responsabilidad activa’, por el que las empresas deben adoptar las medidas necesarias en función del tipo de tratamientos que realicen tanto para cumplir con la normativa como para estar en disposición de demostrar que cumplen.

La AEPD considera una prioridad el fomento de la concienciación entre las empresas, contribuyendo a que el sector empresarial consiga un elevado cumplimiento de sus obligaciones, fomentando una cultura de la protección de datos que suponga una clara mejora de la competitividad y contribuya al desarrollo de una economía más innovadora.

Por su parte ADiReLab tiene como misión promocionar y desarrollar la función directiva de las relaciones laborales como valor estratégico para empresas y organizaciones; fomentar el diálogo social y facilitar a sus miembros el conocimiento especializado de las normas laborales y los criterios de interpretación de la Administración y los Tribunales, así como anticipar las tendencias de futuro y transformación de las relaciones laborales a nivel global por el impacto de la tecnología, la demografía o la globalización.

En virtud de este Protocolo la AEPD pondrá a disposición de ADiReLab aquellas herramientas, guías y publicaciones que puedan ayudar a las empresas para que esta última las difunda entre sus socios. Esto incluye, entre otras, la herramienta Facilita_RGPD para aquellas que realicen tratamientos de datos de bajo riesgo o Gestiona_EIPD, para aquellas que prevean realizar tratamientos de datos de alto riesgo. Asimismo, la Agencia pone a disposición de ADiReLab la celebración de un taller formativo anual sobre el impacto de la LOPDGDD en las relaciones laborales y el análisis y la difusión de la doctrina administrativa de la AEPD en materia de protección de los datos personales de los empleados.

El Protocolo suscrito recoge igualmente que la AEPD valorará y analizará las propuestas recibidas de ADiReLab que contribuyan a fomentar la difusión y conocimiento del nuevo marco jurídico y ADiReLab, por su parte, prestará especial atención a las iniciativas que le traslade la AEPD y que puedan aportar mejoras en el conocimiento de la normativa por parte de sus socios/as, utilizando sus canales para garantizar la difusión de los contenidos que les traslade la Agencia, de forma que sean conocidos y accesibles para sus miembros.

La aplicación práctica de la nueva Ley de Protección de Datos y el Reglamento centran el curso que la Agencia imparte en la UIMP

/en , /por

La aplicación práctica de la nueva Ley de Protección de Datos y el Reglamento centran el curso que la Agencia imparte en la UIMP
dortega
Mié, 07/17/2019

17 de Julio de 2019

El curso ‘La Ley Orgánica de protección de datos personales y garantía de derechos digitales: orientaciones para su aplicación’, bajo la dirección de Mar España, tendrá lugar del 17 al 19 de julio en el marco de las Actividad

El curso ‘La Ley Orgánica de protección de datos personales y garantía de derechos digitales: orientaciones para su aplicación’, bajo la dirección de Mar España, tendrá lugar del 17 al 19 de julio en el marco de las Actividades de Verano de la Universidad Internacional Menéndez Pelayo
Acceso al programa

(17 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) imparte durante los días 17, 18 y 19 de julio el curso ‘La Ley Orgánica de Protección de Datos Personales y garantía de derechos digitales: orientaciones para su aplicación’ bajo la dirección de Mar España, directora de la Agencia.

El encuentro tiene lugar durante las Actividades de Verano 2019 de la Universidad Internacional Menéndez Pelayo (UIMP) en el Palacio de La Magdalena de Santander y en él se analiza en profundidad la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, así como la aplicación práctica del Reglamento General de Protección de Datos (RGPD) cuando acaba de cumplirse un año de su aplicación.

UIMP
El programa incluye conferencias en las que se abordan cuestiones generales como los principios de la protección de datos, las bases jurídicas, las disposiciones aplicables a tratamientos concretos, las medidas de responsabilidad activa o los procedimientos para la tramitación de reclamaciones.

 A ellas se suman mesas redondas de temáticas especializadas, como la que tratará la protección de datos personales y la investigación en salud, las tecnologías de seguimiento y perfilado o la experiencia práctica de los delegados de protección de datos.

 La experiencia práctica de los delegados de protección de datos, el tratamiento de datos personales en las Administraciones Públicas o el balance del trabajo realizado por el Comité Europeo de Protección de Datos completan los contenidos del encuentro.

 El curso se dirige fundamentalmente a empresas, Administraciones Públicas, expertos en protección de datos y tecnologías de la información y, en general, a todos los profesionales interesados en la protección de datos de carácter personal.

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos

/en , /por

La Agencia Española de Protección de Datos (AEPD) ha publicado un modelo de informe de Evaluación de Impacto en la Protección de Datos (EIPD) dirigido a Administraciones Públicas con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la Guía práctica para las Evaluaciones de Impacto en la Protección de Datos, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social a través de la Subsecretaría y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

LEER NOTICIA COMPLETA EN SU FUENTE ORIGINAL

FUENTE ORIGINAL: AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

 

La AEPD presenta su herramienta Gestiona como ayuda para realizar análisis de riesgos y evaluaciones de impacto en la protección de datos

/en , /por

La AEPD presenta su herramienta Gestiona como ayuda para realizar análisis de riesgos y evaluaciones de impacto en la protección de datos
dortega
Lun, 07/15/2019

15 de Julio de 2019

Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia El modelo ha sido elaborado en col

Se trata de un cuestionario online para ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo
Gestiona se suma a otras herramientas desarrolladas por la AEPD para fomentar el cumplimiento de la normativa como Facilita, orientada a pymes y autónomos que tratan datos de escaso riesgo

(Madrid, 15 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha puesto hoy en funcionamiento Gestiona_EIPD, una herramienta para ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo como, por ejemplo, aquellos que impliquen datos de salud o tratamientos masivos. Gestiona_EIPD puede resultar también útil para aquellas pymes que necesitan iniciarse en la realización de Evaluaciones de Impacto en Protección de Datos personales (EIPD).

El Reglamento General de Protección de Datos (RGPD) establece que las organizaciones que tratan datos personales deben realizar un análisis de riesgos para establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. Además, cuando de ese análisis se desprenda que existe un riesgo alto para la protección de datos, el RGPD exige a esas organizaciones llevar a cabo una EIPD. La AEPD dispone de un 

listado de tratamientos de datos personales

 en los que es obligatorio hacer una EIPD, como establece el Reglamento en su artículo 35.4.

La herramienta gratuita Gestiona guía a los responsables y encargados del tratamiento de datos en los aspectos que se deben tener en cuenta en los análisis de riesgos y las evaluaciones de impacto, proporcionando una base inicial para llevar a cabo una adecuada gestión de los mismos, incluyendo los requisitos de cumplimiento normativo aplicables y posibles medidas encaminadas a reducir o mitigar los riesgos. La Agencia recuerda que, en ningún caso, estos requisitos de cumplimiento pueden ser reemplazados por medidas alternativas técnicas u organizativas. Para más información, en la página web de la Agencia puede consultarse el Listado de elementos para el cumplimiento normativo del RGPD.

Gestiona está diseñada como un cuestionario online donde el responsable debe valorar si desea hacer un análisis de riesgos o una evaluación de impacto en la protección de datos. Los datos que los responsables y encargados aporten –y que la AEPD no conserva ni monitoriza de forma alguna– les permitirán obtener esta documentación básica. Ésta deberá ser completada por el responsable del tratamiento y, en su caso, el encargado para iniciar el análisis de riesgos o de EIPD siguiendo las indicaciones establecidas en la Guía práctica para las evaluaciones de impacto en la protección de datos personales, y analizada periódicamente de manera que en todo momento se pueda demostrar que los tratamientos se llevan a cabo de conformidad con los requisitos que establece la normativa de protección de datos.

Con Gestiona_EIPD, la AEPD aporta una nueva herramienta desarrollada para fomentar y ayudar al cumplimiento de la normativa de protección de datos, que se une a otras como Facilita, diseñada para ayudar a aquellas empresas y profesionales que traten datos personales de escaso riesgo y que ya ha sido completada en casi 180.000 ocasiones.

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos

/en , /por

La AEPD publica un modelo de informe para ayudar a las Administraciones Públicas a realizar evaluaciones impacto en la protección de datos
dortega
Mar, 07/09/2019

9 de Julio de 2019

 

Se trata de un cuestionario online para ayudar a realizar análisis de riesgos y evaluaciones de impacto a las empresas y administraciones que lleven a cabo tratamientos de datos de alto riesgo Gestiona se suma a otras herram

Recopila todos los aspectos que deben ser tenidos en cuenta por las AAPP para elaborar un informe de Evaluación de Impacto (EIPD), complementando a la Guía práctica publicada por la Agencia
El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social

(Madrid, 9 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado un 

 con el fin de facilitar la realización de estas evaluaciones y desarrollado a partir de la 

Guía práctica para las Evaluaciones de Impacto en la Protección de Datos

, publicada por la AEPD. El modelo ha sido elaborado en colaboración con el Ministerio de Trabajo, Migraciones y Seguridad Social a través de la Subsecretaría y el Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social.

 Entre las obligaciones que el Reglamento General de Protección de Datos (RGPD) impone a los responsables del tratamiento se encuentra la necesidad de evaluar el impacto de las actividades de tratamiento en la protección de datos cuando resulte probable que dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas.     

 El modelo recopila todos los aspectos que deben ser tenidos en cuenta para elaborar un informe de evaluación de impacto, entre los que se encuentra la descripción del tratamiento, la base jurídica que lo justifica, los análisis del tratamiento, de la obligación de realizar una EIPD o de cumplimiento, así como las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones.

 Si bien este modelo no va dirigido a responsables que efectúen tratamientos de datos de bajo riesgo, en aquellos casos en que no sea obligatorio hacer una evaluación de impacto puede valorarse la posibilidad de llevar a cabo este análisis con otros fines, como estudiar en profundidad un tratamiento; mejorar la gestión global de los procesos de una organización; generar conocimiento y cultura de protección de datos, o hacer un ejercicio de responsabilidad proactiva.

La AEPD alerta a pymes y autónomos de los riesgos de contratar servicios de adecuación a la normativa a ‘coste cero’

/en , /por

La AEPD alerta a pymes y autónomos de los riesgos de contratar servicios de adecuación a la normativa a ‘coste cero’
dortega
Jue, 07/04/2019

4 de Julio de 2019

El conocido como ‘coste cero’ consiste en ofertar servicios a un precio muy bajo o de forma gratuita, abonando los mismos mediante fondos destinados a formación para trabajadores La Agencia ha publicado un documento informat

El conocido como ‘coste cero’ consiste en ofertar servicios a un precio muy bajo o de forma gratuita, abonando los mismos mediante fondos destinados a formación para trabajadores
La Agencia ha publicado un documento informativo, elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, que recoge las sanciones que pueden imponerse por las infracciones administrativas que puede entrañar la contratación de este tipo de servicios
La Agencia también previene de otras prácticas fraudulentas asociadas, como difundir que se está obligado a contratar un DPD en todos los casos o la oferta de servicios innecesarios, entre otras

(3 de julio de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado un documento informativo en el que 

. El documento, que ha sido elaborado con la colaboración de la Inspección de Trabajo y Seguridad Social y la Agencia Tributaria, también recoge otras prácticas fraudulentas que suelen estar asociadas a este tipo de servicios.

 La adecuación a la normativa de protección de datos conocida como coste cero consiste en ofertar estos servicios a un precio muy bajo o incluso de forma gratuita, abonando el pago de estos mediante los fondos de la empresa destinados a los programas de formación para trabajadores, que son objeto de bonificación por parte de la Seguridad Social.

 La contratación del servicio de adecuación a la normativa de protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social para la formación profesional para el empleo, puede derivar en infracciones que se sancionarán, por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros, sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en cada caso procedan.

 Además, en lo referente al cumplimiento de obligaciones tributarias por parte de las empresas, tanto de quien oferta el servicio como de quien lo contrata, las actividades formativas destinadas a los trabajadores están exentas de tributación por el IVA, mientras que el tipo que corresponde a un servicio de adecuación a una determinada legislación sería del 21%. De enmascararse el servicio realmente llevado a cabo se puede estar cometiendo, por tanto, una infracción tributaria, sancionable con multa pecuniaria proporcional, del 50% en adelante, sobre la cuantía no ingresada.

 La Agencia también advierte a pymes y autónomos, destinatarios fundamentales de este tipo de prácticas, que los servicios de adecuación a la normativa requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos. Por tanto, es insuficiente un asesoramiento basado en documentos genéricos que no tengan en cuenta las características específicas de la actividad.

 Por otro lado, hacer creer a pymes y autónomos que están obligadas en cualquier caso a designar un delegado de protección de datos u ofrecer servicios innecesarios para los tratamientos que realiza la empresa son otros de los mensajes engañosos frecuentes.

 El documento también hace referencia a prácticas agresivas y que podrían incurrir en competencia desleal, como actuar con intención de suplantar la identidad de la Agencia en las comunicaciones que se realizan, generar la apariencia de que se está actuando en colaboración con la AEPD, realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos, u ofrecer documentación por la que se pretenda crear una apariencia de cumplimiento de la normativa de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar dicho cumplimiento. En estos casos, los afectados podrán ejercer acciones ante los juzgados de lo mercantil o denunciarlo ante la Comisión Nacional de los Mercados y de la Competencia si se vulnera la Ley de Defensa de la Competencia.

 La Agencia recuerda la conveniencia de que las pymes y autónomos que quieran o tengan que contratar servicios de adecuación a la normativa de protección de datos se aseguren de que los servicios que se les ofrecen no incurren en las prácticas mencionadas con anterioridad. Además, por lo que respecta al ámbito de actuación de la AEPD, existen varios canales de información a los responsables (Canal INFORMA) y a los ciudadanos (Atención al ciudadano) y una herramienta gratuita de ayuda (FACILITA_RGPD) dirigida a empresas que realicen un tratamiento de datos personales de escaso riesgo.