Las compañías trataban datos personales sin consentimiento de sus titulares

Más de 20 millones de euros ha recaudado la Agencia Española de Protección de Datos (AEPD) en multas en lo que llevamos de año.

Una factura más que onerosa para empresas como Caixabank, Equifax o Vodafone que este año han batido récords reuniendo entre ellas 15 millones del total de las multas impuestas. Sanciones millonarias a las que ahora se suman la compañía EDP Energía y su comercializadora (EDP COMERCIALIZADORA, S.A.U.) a las que la AEPD ha impuesto este mes sendas multas de 1,5 millones de euros por incumplir la normativa de protección de datos.

La investigación de la Agencia comenzó en junio de 2019 tras haber recibido diversas reclamaciones contra la eléctrica en donde se denunciaba principalmente el tratamiento de datos personales sin consentimiento. Dichos tratamientos se llevaban a cabo durante el proceso de contratación cuando se formalizaban a través de un supuesto representante.

Dado que la compañía ya había sido sancionada con anterioridad, la Agencia estimó necesario comprobar una posible conducta regular que vulnerase la normativa de protección de datos.

Con motivo de identificar la raíz de las reclamaciones, la AEPD analizó todos los posibles canales de contratación utilizados por la compañía donde diferencian:

  • Telefónico: que incluye una serie de subcanales (CAC Inbound, Telemarketing y Leads).
  • Canal web.
  • Distribuidores: que incluye las oficinas comerciales propias de la compañía y otras tiendas ajenas.
  • Fuerzas de venta externas: stands en ferias, centros comerciales, etc. o visitas a domicilio bajo previa solicitud.

Exceptuando el canal web y el subcanal de tiendas ajenas, todos los canales permitían la contratación del servicio a través de un representante del cliente.

Sin embargo, tras analizar el protocolo utilizado la Agencia identificó importantes deficiencias en el proceso, ya que cuando un cliente seleccionaba esta modalidad de contratación la compañía no requería que se acreditase la representación que se decía ostentar. Al no estar en capacidad de acreditar la representación de quien contrata en nombre de un tercero se da lugar a una posible suplantación de identidad y, en definitiva, al tratamiento de datos personales sin legitimación.

Extracto AEPD. Procedimiento sancionador PS-00236-2020

Partimos, por tanto, de que EDP Energía no dispuso de los mecanismos o protocolos necesarios para acreditar de manera fehaciente la representación en la contratación de sus servicios.

Un incumplimiento del artículo 25 del Reglamento General de Protección Datos (RGPD) en tanto en cuanto no implantó las medidas necesarias para aplicar los principios de protección de datos e integrar las garantías necesarias para asegurar los derechos y libertades de los usuarios.

Por otra parte, durante el proceso de investigación la Agencia observó también que, en el canal de contratación telefónica, junto a la contratación del servicio se solicitaba el consentimiento para llevar a cabo otros tratamientos accesorios:

  • Permiso para completar el perfil comercial del representado con información de bases de terceros.
  • Envío de ofertas relacionadas con la energía adaptadas al perfil del cliente una vez que hubiese finalizado el contrato.
  • Remisión de publicidad de productos o servicios diferentes de entidades colaboradoras o de la propia EDP.

En estos casos, la compañía tampoco acreditaba (dentro del proceso de contratación) que el supuesto representante estuviese autorizado para consentir dichos tratamientos.

Extracto AEPD. Procedimiento sancionador PS-00236-2020

El consentimiento se otorgaba tanto a EDP COMERCIALIZADORA, S.A.U. como a EDP ENERGÍA, S.A.U. sin haber sido identificados claramente como responsables del tratamiento.

Atendiendo a lo establecido en el artículo 13 del RGPD, para que el consentimiento sea informado es necesario comunicar al interesado ciertos elementos o aspectos que son cruciales. Información que no se facilita al usuario en el momento de la contratación no estableciendo la identidad del responsable del tratamiento, ni cuáles son las bases de datos de terceros de las que van a obtenerse datos.

Tanto es así que en función del canal de contratación utilizado, la compañía tampoco ofrecía la misma información. En muchas ocasiones era incompleta al no identificar debidamente al responsable del tratamiento, ni detallar cuáles eran las bases de datos de terceros a consultar para obtener datos adicionales o no informaba de la posibilidad de ejercer los derechos recogidos en la normativa. Por todo ello, la Agencia estimó sancionar a ambas compañías con 500.000 euros respectivamente por la infracción del artículo 25 del RGPD y con 1.000.000 de euros respectivamente por la infracción del artículo 13 del RGPD.


Sigue esta y otras noticias a través de nuestro canal de Telegram

Imagen de Free Photos en Pixabay