La AEPD impone una multa de 3 millones de euros contra la eléctrica EDP por vulnerar el reglamento de protección de datos

Dos filiales en España de la eléctrica portuguesa EDP han sido sancionadas por la Agencia Española de Protección de Datos. La cuantía total de estas dos multas asciende a los 3 millones de euros.

En concreto se tratan de dos sanciones de un millón y medio cada una que se dirigen contra EDP Energía y EDP Comercializadora por haber vulnerado algunos puntos del Reglamento General de Protección de Datos (RGPD). En concreto, la AEPD acusaba a la eléctrica de no comprobar debidamente que los representantes de sus clientes estaban correctamente acreditados.

EDP solicitaba a los representantes de sus clientes el consentimiento para enviarle comunicaciones comerciales a estos últimos, pero el organismo de control español dictamina que la eléctrica no había solicitado la acreditación de representación para que un tercero pudiese dar conformidad a tal cuestión. En otras palabras: un representante puede obrar en nombre de una persona para dar de alta a un contrato, pero no para aceptar comunicaciones comerciales si no se ha acreditado explícitamente.

Es más, el propio organismo de control detalla en sus resoluciones, publicadas el pasado 4 de mayo aquí y aquí, que ya habían recibido diversas denuncias y reclamaciones contra EDP por un "tratamiento de datos personales sin consentimiento del interesado". Tratamientos que se producen cuando el representante de un cliente va a contratar, sin que EDP "pueda acreditar la existencia de tal representación".

La tienda que se viralizó por vender pancartas contra el Gobierno, sancionada por la AEPD por vulnerar el Reglamento de Protección de Datos

La AEPD advierte en sus resoluciones que esta práctica genera riesgos como "el de suplantación de identidad o los perjuicios económicos o de otro tipo que se puedan ocasionar al interesado como consecuencia del cambio de compañía suministradora del servicio con la consiguiente cancelación del contrato de origen, el cambio de titularidad o de modalidad del contrato, sin que se hayan consentido".

Los 3 millones a EDP se convierten inmediatamente en la cuarta mayor sanción de la AEPD en lo que va de año y en su historia. A finales de 2020 se registró una sanción al BBVA de 5 millones de euros; en enero, otra a CaixaBank de 6 millones, y en marzo, la más alta de la historia, una a Vodafone de más de 8 millones.

En los últimos meses, la agencia española ha impuesto sanciones que superan los 23 millones de euros. Muy superior a la cifra que la AEPD registraba desde 2018, cuando entra en vigor el Reglamento General de Protección de Datos, hasta finales de 2020: 4 millones y medio. El número y la cuantía de sanciones que el organismo de control está imponiendo este 2021 avala cómo la organización ha cambiado su estrategia. Hasta ahora, la AEPD era el organismo europeo que más sanciones interponía, pero de menor cuantía.