Recientemente la Agencia Española de Protección de Datos; ha acordado iniciar un procedimiento sancionador contra ENDESA ENERGÍA XXI, S.L.U; (ENDESA), uno de los gigantes en el sector de la energía en España.
Los hechos comienzan cuando la reclamante recibe un cargo en su cuenta bancaria por parte de ENDESA, cuyo beneficiario era una tercera persona quien, para sorpresa de la reclamante, resultó ser aquel contra el que se le había dictado una orden de alejamiento, y, además, había sido condenado por un delito de coacciones en el orden familiar. El error tuvo lugar cuando este individuo llamó a la compañía para efectuar un cambio en su contrato de empresa, en la que ella figuraba como apoderada; no obstante, el agente actuante por error modificó la fecha del contrato de la reclamante eliminando sus datos y rellenando los datos del tercero por error.
Ante estos hechos, y cuando ENDESA recibe por parte de la Agencia la reclamación presentada, esta procede a reforzar las medidas dirigidas a verificar que las personas que realizan gestiones por cuenta de una empresa estén efectivamente autorizadas para ello; reforzar la formación de los teleoperadores para evitar este tipo de errores humanos e introducir mecanismos que permitan validar a posteriori las solicitudes o cambios contractuales registrados por parte de los agentes teleoperadores en los sistemas comerciales.
Lo cierto es que, los hechos denunciados se basan en que ENDESA, ha revelado datos a un tercero para cargar en la cuenta bancaria de la reclamante un recibo de gas que no le correspondía.
Ello, conlleva una infracción de los artículos, 5 del Reglamento General de Protección de Datos (RGPD) y 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de derechos digitales (LOPDGDD), respectivamente. Ambos artículos, tratan como principios relativos al tratamiento el de integridad y confidencialidad. Según la resolución de la AEPD, este deber de confidencialidad o sigilo tiene como finalidad evitar que se realicen filtraciones de los datos, que no hayan sido previamente consentidos por el titular de los mismos y la obligación no recae solo en el responsable o el encargado si no también, a todo aquel que intervenga en cualquier fase del tratamiento. Además, dicho deber es complementario del deber de secreto profesional. Nuestro Tribunal Constitucional ya enlazaba el deber de confidencialidad en protección de datos con el secreto profesional, así en su Sentencia 229/2000 ya resaltaba que “el deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales (…)”
Por otro lado, la infracción de dicho principio conlleva una sanción administrativa conforme a lo establecido en el artículo 83 del RGPD. Esto es, “con multas administrativas de 20.000.000€ como máximo”. Para valorar el importe de sanción de multa, acorde con el artículo 83, la Agencia tuvo en cuenta los siguientes factores de forma inicial:
El procedimiento terminó por pago voluntario de la Entidad.
Esta resolución es otra evidencia de lo importante que es para las empresas disponer de protocolos y medidas de seguridad para evitar cruces de datos pues “pequeños descuidos” de personal insuficientemente formado pueden dar lugar a infracciones muy graves.
