Imposen una sanció de 130.000€ a IBERDROLA per infringir la normativa de protecció de dades

24 abr., 2020

En la resolució de l’expedient sancionador PS/00181/2019, publicada el 23 de març de 2020, l’Agència Espanyola de Protecció de Dades (AEPD) ha imposat a IBERDROLA CLIENTES SAU dues multes per un import total de 130.000€, per vulnerar la normativa sobre protecció de dades, resolució que IBERDDROLA pot recórrer.

D’una banda se li imposa una sanció administrativa de 80.000€ per haver infringit l’article 6 del Reglament General de Protecció de Dades (RGPD) i 50.000€ més per infringir l’article 6.1 de la Llei Orgànica 15/1999 de Protecció de Dades de Caràcter Personal (LOPD).

L’expedient es va incoar davant la reclamació d’una usuària que afirmava que l’empresa va fer servir les seves dades personals sense el seu consentiment.

L’AEPD va considerar provat que l’empresa va donar de baixa el contracte d’electricitat de la reclamant sense justificació legal ni consentiment, i va donar d’alta altres contractes de serveis de gas vinculant-los a les seves dades personals, i també que  va cedir a una empresa externa de cobraments les dades de l’afectada per reclamar-li el pagament dels deutes generats, precisament, pels contractes que ella no havia signat.

L’AEPD determina per tant que l’empresa va tractar les dades sense el consentiment de l’afectada  (incomplint l’article 6.1 de la LOPD per falta de consentiment inequívoc de l’afectat), i que les va comunicar a una empresa de cobraments d’impagats sense que aquesta actuació estigués emparada en cap causa de licitud del tractament de les establertes a l’article 6.1 del RGPD.

Per quantificar la sanció l’AEPD ha tingut en compte:

  • La durada del tractament il·lícit de les dades de la reclamant (més de tres mesos).
  • L’abast del tractament, atès que les dades personals del reclamant que van ser objecte de tractament per l’empresa van ser diverses: el nom i dos cognoms, NIF, domicili particular, número de telèfon mòbil i les dades bancàries.
  • Que van ser diverses les conductes contràries al principi de licitud a través de les quals l’empresa va tractar les dades personals del reclamant: emetre tres contractes al seu nom; emetre factures al seu nom derivades d’aquests contractes; girar càrrecs contra el compte bancari de la reclamant, i va comunicar a l’empresa de recobraments les seves dades personals per a requerir un import que -d’acord amb el que preveu la Llei general de defensa dels consumidors i usuaris- la reclamant no li devia.
  • Que l’empresa va  actuar amb una molt greu falta de diligència,  ja que no va respondre a la sol·licitud informativa de l’AEPD prèvia a l’admissió a tràmit de la reclamació, ni tampoc al requeriment que li va fer la Inspecció de Dades en el curs de les actuacions d’investigació prèvia.
  • L’evident vinculació entre l’activitat empresarial d’IBERDROLA i el tractament de dades personals de clients o de tercers.