La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) incluyó en su Disposición adicional decimosexta, contenido respecto a estas consideradas prácticas agresivas en materia de protección de datos, conforme a la Ley 3/1991, de 10 de enero, de Competencia Desleal.
Dichas prácticas agresivas, realizadas por supuestos consultores de privacidad, consisten en:
- Suplantar la identidad o aparentar que se actúa en nombre de la AEPD o de cualquier autoridad de control.
- Usar la táctica del miedo hacia posibles multas por incumplimiento de la normativa de protección de datos,
- Ofrecer falsas acreditaciones o falsos certificados de cumplimiento.
- Asumir la función de delegado de protección de datos (DPO) sin estar designado expresamente por el RT o ET, autonombrándose DPO o comunicándose con la Autoridad de control como DPO. Incluso hacer creer a la entidad que está obligada en cualquier caso a designar un DPO u ofrecer servicios innecesarios para los tratamientos que realiza la entidad.
Los servicios de adecuación a la normativa de privacidad requieren de la realización de un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, aplicando los principios de protección de datos en los procedimientos. Por tanto, es insuficiente un asesoramiento basado en documentos genéricos.