La AEPD impone una multa a ENDESA por vulnerar el principio de confidencialidad

30 julio 2019

La Agencia Española de protección de datos multa a la eléctrica ENDESA por vulnerar el principio de confidencialidad en los datos de una cliente.

30 julio 2019

Recientemente la Agencia Española de Protección de Datos; ha acordado iniciar un procedimiento sancionador contra ENDESA ENERGÍA XXI, S.L.U; (ENDESA), uno de los gigantes en el sector de la energía en España.

Los hechos comienzan cuando la reclamante recibe un cargo en su cuenta bancaria por parte de ENDESA, cuyo beneficiario era una tercera persona quien, para sorpresa de la reclamante, resultó ser aquel contra el que se le había dictado una orden de alejamiento, y, además, había sido condenado por un delito de coacciones en el orden familiar. El error tuvo lugar cuando este individuo llamó a la compañía para efectuar un cambio en su contrato de empresa, en la que ella figuraba como apoderada; no obstante, el agente actuante por error modificó la fecha del contrato de la reclamante eliminando sus datos y rellenando los datos del tercero por error.

Ante estos hechos, y cuando ENDESA recibe por parte de la Agencia la reclamación presentada, esta procede a reforzar las medidas dirigidas a verificar que las personas que realizan gestiones por cuenta de una empresa estén efectivamente autorizadas para ello; reforzar la formación de los teleoperadores para evitar este tipo de errores humanos e introducir mecanismos que permitan validar a posteriori las solicitudes o cambios contractuales registrados por parte de los agentes teleoperadores en los sistemas comerciales.

Lo cierto es que, los hechos denunciados se basan en que ENDESA, ha revelado datos a un tercero para cargar en la cuenta bancaria de la reclamante un recibo de gas que no le correspondía.

Ello, conlleva una infracción de los artículos, 5 del Reglamento General de Protección de Datos (RGPD) y 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales (LOPDGDD), respectivamente. Ambos artículos, tratan como principios relativos al tratamiento el de integridad y confidencialidad. Según la resolución de la AEPD, este deber de confidencialidad o sigilo tiene como finalidad evitar que se realicen filtraciones de los datos, que no hayan sido previamente consentidos por el titular de los mismos y la obligación no recae solo en el responsable o el encargado si no también, a todo aquel que intervenga en cualquier fase del tratamiento. Además, dicho deber es complementario del deber de secreto profesional. Nuestro Tribunal Constitucional ya enlazaba el deber de confidencialidad en protección de datos con el secreto profesional, así en su Sentencia 229/2000 ya resaltaba que “el deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales (…)”

Por otro lado, la infracción de dicho principio conlleva una sanción administrativa conforme a lo establecido en el artículo 83 del RGPD. Esto es, “con multas administrativas de 20.000.000€ como máximo”. Para valorar el importe de sanción de multa, acorde con el artículo 83, la Agencia tuvo en cuenta los siguientes factores de forma inicial:

  • Alcance del tratamiento.
  • Personas afectadas.
  • Perjuicio causado (para el que se tuvo en cuenta la orden de alejamiento que tenía el tercero para con la reclamante)
  • Si la entidad reclamada ha tomado medidas para evitar futuras incidencias.
  • Falta de diligencia grave por parte de la Entidad.

El procedimiento terminó por pago voluntario de la Entidad.

Como conclusión, destacamos:

  • Las medidas que toma ENDESA cuando es consciente de la “fuga de datos”, son tomadas en cuenta, de forma positiva, a la hora de valorar la potencial multa.
  • El principio de confidencialidad debe ser evaluado de forma complementaria al secreto profesional.
  • Dicho principio no incumbe solo al responsable o al incumbe solo al responsable o al encargado sino a todo aquel que intervenga en cualquier fase del tratamiento.
  • Esta resolución supone otra evidencia más de lo importante que es para las grandes empresas, de disponer de protocolos y medidas de seguridad suficientes, para evitar cruces de datos, de formar adecuadamente al personal, pues “pequeños descuidos” pueden dar lugar a infracciones muy graves como ha ocurrido en el presente caso.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

Lucía Martín-Sanz

Abogada. Departamento de Marcas.

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios