Nueva sanción millonaria de la AEPD a la eléctrica EDP

Nueva sanción millonaria de la AEPD a la eléctrica EDP

Recientemente, el mundo de la privacidad se hacía eco de dos resoluciones sancionadoras de la AEPD a la compañía eléctrica EDP ENERGÍA y su comercializadora, EDP COMERCIALIZADORA, S.A.U. cuyo valor ascendía a un total de 3 millones de euros para ambas entidades. Se trata de la multa más alta impuesta hasta ahora por la AEPD contra una energética, y la cuarta de los últimos años (por detrás de Vodafone, CaixaBank y BBVA).

Esta multa, es el resultado final de un proceso de investigación iniciado de oficio por la AEPD, y gestionado en diferentes procedimientos sancionadores, en el año 2019, debido a las reiteradas denuncias de usuarios recibidas contra EDP y en las que sustancialmente se denunciaba el tratamiento de datos personales sin consentimiento.

Tras el análisis de todos los posibles canales de contratación utilizados por la energética (telefónico, web, distribuidores y fuerzas de venta externas), la AEPD considera probada la vulneración, por parte de EDP, de los siguientes preceptos del RGPD:

  • Principio de privacidad desde el diseño – artículo 25 del RGPD (sanción: 500.000 euros). La energética permitía, salvo mediante canal web y tiendas ajenas, la contratación de los servicios comercializados a través de un representante sin comprobar la existencia de autorización para contratar o para prestar consentimiento en nombre del representado. A ojos de la AEPD, EDP no llevó a cabo la implantación de las medidas técnicas y organizativas apropiadas para mitigar los riesgos derivados de esta contratación de servicios por parte de terceros (p.e. suplantación de identidad) lo que choca de frente con las obligaciones que el artículo 25 del RGPD impone a los responsables de tratamiento.

Adicionalmente, la AEPD verificó que EDP tampoco podía acreditar que, durante el proceso de contratación, el representante estuviese autorizado para consentir tratamientos accesorios basados en el consentimiento, tales como:

  1. – Permiso para completar el perfil comercial del representado con información de bases de terceros.
  2. − Envío de ofertas relacionadas con la energía adaptadas al perfil del cliente una vez que hubiese finalizado el contrato.
  3. − Remisión de publicidad de productos o servicios diferentes de entidades colaboradoras o de la propia EDP.
  • Principio de información – artículo 13 del RGPD (sanción: 1.000.000 euros). La información facilitada al interesado respecto del tratamiento de sus datos es incompleta pues no responde a las exigencias del artículo 13 del RGPD en su totalidad. En concreto:
  1. − No se informa de la posibilidad de ejercitar los derechos, ni de un canal para hacerlo.
  2. − No se proporciona una forma sencilla de acudir al resto de información sobre protección de datos (segunda capa).
  3. − No se establece claramente el responsable del tratamiento en la política de privacidad.
  4. − No se hace distinción entre las bases legitimadoras que amparan cada tratamiento de datos.
  5. − No se informa claramente del interés legítimo perseguido por los responsables.

Estos incumplimientos, se encuentran tipificados, a efectos de prescripción, como grave (artículo 83.4.a RGPD) y leve (artículo 83.5.b RGPD) respectivamente y les son de aplicación los siguientes agravantes:

  1. − La naturaleza, gravedad y duración de la infracción.
  2. − La intencionalidad o negligencia apreciada en la comisión de la infracción.
  3. − El carácter continuado de la infracción.
  4. − La alta vinculación de la actividad de EDP con la realización de tratamientos de datos personales.
  5. − La condición de gran empresa que tiene la entidad responsable y su volumen de negocio.
  6. − El elevado volumen de datos y tratamientos que constituye el objeto del expediente sancionador.

Con estas resoluciones sancionadoras, la AEPD pone sobre el papel la importancia de implantar de manera consciente y con el objetivo de respetar la privacidad de los interesados en los tratamientos que hagan de sus datos, los preceptos recogidos en el RGPD y la LOPDGDD dejando a un lado la mera literalidad de los mismos.

 

Marta Castrillo

Departamento Legal