50.000 euros de sanción a una compañía eléctrica por dar de alta y facturar a un usuario sin su consentimiento

La Agencia Española de Protección de Datos ha impuesto una sanción de 50.000 euros a la compañía eléctrica Iberia, por realizar dos contrataciones con un usuario sin que este tuviese conocimiento ni, por supuesto, diese su consentimiento. Concretamente, la Administración entiende que ha existido una vulneración del Reglamento General de Protección de Datos en lo relativo a la legitimidad de tratamiento.

La empresa realizó indebidamente dos contratos con los datos de una persona con la que había suscrito un contrato consentido. “De las actuaciones se desprende que únicamente de la segunda contratación existe acreditado el consentimiento por la parte reclamante. No consta acreditado consentimiento alguno en las otras dos contrataciones”, se lee en el expediente. En virtud de las contrataciones fraudulentas se realizaron diversos cargos a la cuenta bancaria de la parte reclamante. Según la mercantil, se trató de un error.

El error radicaba en el traspaso de los datos por parte de una tercera empresa, a la que Suministradora Ibérica de Energía había subcontratado la contratación de clientes y que tenía la condición de encargado del tratamiento, mientras que la compañía principal es la responsable del tratamiento de los datos personales que se deriven de esa contratación. Por contrato, la tercera empresa debía facilitar la grabación íntegra de la conversación mantenida con el cliente en la que este consentía el tratamiento de sus datos personales. Sin embargo, en este caso nadie pudo aportar dichas grabaciones que debían haber sido comprobadas antes de proceder al contrato. “La propia parte reclamada ha reconocido en diversas ocasiones que ambas contrataciones se activaron por error, debido a que la prestadora de servicios remitió los datos del reclamante erróneamente”.

¿Por qué la AEPD multó a la compañía eléctrica?

La actuación de la compañía eléctrica vulneró el artículo 6 del Reglamento de Protección de Datos, no existiendo ninguna causa que legitimase el tratamiento. “En este sentido, debe tenerse en cuenta que, en virtud del principio de responsabilidad proactiva previsto en el artículo 5.2 del RGPD, incumbe al responsable la carga de la prueba de que el tratamiento de los datos personales de la parte reclamante que efectuó estaba amparado en alguna de las circunstancias de licitud previstas en el artículo 6.1 del RGPD. En el caso que nos ocupa, de la instrucción del presente procedimiento se desprende que el tratamiento de los datos personales de la parte reclamada realizado por SIE, no estaba legitimado por ninguna de las causas enunciadas en el citado artículo 6.1 del RGPD.»

Lea también: La AEPD fija los criterios de uso de sistemas biométricos

Como circunstancias agravantes se recoge que la parte reclamada ha sido sancionada anteriormente por la AEPD por hechos similares a estos y la evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos. Además de la sanción, la empresa tiene tres meses a partir de esta resolución para acreditar que ha puesto las medidas oportunas para que no vuelva a suceder una situación como esta.

FUENTE: Montes, Pablo. »50.000 euros de sanción a una compañía eléctrica por dar de alta y facturar a un usuario sin su consentimiento» Economistjurist.com. 27/11/2023. (https://www.economistjurist.es/actualidad-juridica/50-000-euros-de-sancion-a-una-compania-electrica-por-dar-de-alta-y-facturar-a-un-usuario-sin-su-consentimiento/).