En la resolución del expediente sancionador PS / 00181/2019, publicada el 23 de marzo de 2020, la Agencia Española de Protección de Datos (AEPD) ha impuesto a IBERDROLA CLIENTES SAU dos multas por un importe total de 130.000 €, para vulnerar la normativa sobre protección de datos, resolución que IBERDDROLA puede recurrir.
Por un lado se le impone una sanción administrativa de 80.000 € por haber infringido el artículo 6 del Reglamento General de Protección de Datos (RGPD) y 50.000 € más por infringir el artículo 6.1 de la Ley Orgánica 15/1999 de Protección de datos de Carácter Personal (LOPD).
El expediente se incoó ante la reclamación de una usuaria que afirmaba que la empresa usó sus datos personales sin su consentimiento.
La AEPD consideró probado que la empresa dio de baja el contrato de electricidad de la reclamante sin justificación legal ni consentimiento, y dio de alta otros contratos de servicios de gas vinculándolos a sus datos personales, y también que cedió a una empresa externa de cobros los datos de la afectada para reclamarle el pago de las deudas generadas, precisamente, por los contratos que ella no había firmado.
La AEPD determina por tanto que la empresa trató los datos sin el consentimiento de la afectada (incumpliendo el artículo 6.1 de la LOPD por falta de consentimiento inequívoco del afectado), y que las comunicó a una empresa de cobros de impagados sin que esta actuación estuviera amparada en ninguna causa de licitud del tratamiento de las establecidas en el artículo 6.1 del RGPD.
Para cuantificar la sanción la AEPD ha tenido en cuenta:
- La duración del tratamiento ilícito de los datos de la reclamante (más de tres meses).
- El alcance del tratamiento, dado que los datos personales del reclamante que fueron objeto de tratamiento por la empresa fueron diversas: el nombre y dos apellidos, NIF, domicilio particular, número de teléfono móvil y los datos bancarios.
- Que fueron varias las conductas contrarias al principio de licitud a través de las que la empresa trató los datos personales del reclamante: emitir tres contratos a su nombre; emitir facturas a su nombre derivadas de estos contratos; girar cargos contra la cuenta bancaria de la reclamante, y comunicó a la empresa de recobros sus datos personales para requerir un importe que -de acuerdo con lo previsto en la Ley General de Defensa de los consumidores y usuarios- la reclamante no le debía.
- Que la empresa actuó con una muy grave falta de diligencia, ya que no respondió a la solicitud informativa de la AEPD previa a la admisión a trámite de la reclamación, ni tampoco al requerimiento que le hizo la Inspección de Datos en el curso de las actuaciones de investigación previa.
- La evidente vinculación entre la actividad empresarial de IBERDROLA y el tratamiento de datos personales de clientes o de terceros.