Multa de 3 millones de euros a la eléctrica EDP
La Agencia Española de Protección de Datos (AEPD) dictó, el pasado 4 de mayo de 2021, su resolución en el procedimiento PS / 00236/2020 en la que impuso dos multas por importe de 1,5 millones de euros a EDP ENERGÍA, SAU por el tratamiento de datos personales sin consentimiento del interesado.
Se añade así una nueva sanción millonaria por parte de la Agencia en materia de protección de datos en nuestro país. Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018, la AEPD ha dictado más de 650 procedimientos sancionadores basándose en dicha normativa, y sólo en el primer semestre de este año suma ya más de 20 millones de euros en multas (encabezando el ranking la sonada sanción a Vodafone por valor de 8 millones de euros).
En el presente caso, la AEPD da inicio al procedimiento tras recibir una reclamación contra la compañía eléctrica, por haberse efectuado en nombre de la afectada la contratación de sus servicios sin su consentimiento, contratación realizada supuestamente por un representante, sin que dicha entidad pueda acreditar la existencia de tal representación. Además de esta, la Agencia había recibido ya varias reclamaciones de índole muy parecida.
Tras recabar la documentación precisa y estudiar el procedimiento de actuación de la empresa, la Agencia declara:
En primer lugar que no se habían adoptado medidas para comprobar la existencia de autorización para contratar o para prestar consentimiento en nombre del representado, lo cual incumple las obligaciones del artículo 25 del Reglamento General de Protección de Datos (RGPD), de establecer las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados. Además, la Agencia estima que concurren diferentes hechos con calidad de agravantes: la naturaleza, gravedad y duración de la infracción; la intencionalidad o negligencia apreciada en la comisión de la infracción; el carácter continuado de la infracción; La alta vinculación de la actividad del infractor con la realización de tratamientos de datos personales; la condición de gran empresa de la entidad responsable y su volumen de negocio; y el elevado volumen de datos y tratamientos que constituye el objeto del expediente
Esta infracción se encuentra tipificada en el artículo 83.4.a) RGPD y calificada como grave a efectos de prescripción en el artículo 73.d) de la LOPDGDD. Por este hecho la Agencia impone a la compañía una multa por importe de 500.000 euros.
Como segunda parte de la resolución, la Agencia considera que la empresa ha cometido también una infracción del principio de transparencia recogido en el artículo 13 del Reglamento, por no proporcionar información suficiente a los interesados al obtener sus datos para la contratación de los servicios. Esta acción cuenta con los mismos hechos agravantes mencionados anteriormente y sumándose el elevado número de interesados, ya que la infracción afecta a todos los clientes personas físicas de la entidad.
Este incumplimiento está tipificado en el artículo 83.5.b) RGPD y calificado como leve a efectos de prescripción en el artículo 74.a) de la LOPDGDD. Tras el análisis del presente caso, la Agencia impone por esta falta una multa por importe de 1.000.000 euros.
Es importante tratar los datos personales de los clientes correctamente si no es posible que puedan sancionarte; para evitarlo debes tener tus datos protegidos con profesionales del sector de la protección de datos de Torrevieja, Vega Baja, Comunidad Valenciana como Data Protect Plus.