Existen numerosas empresas que prestan servicios energéticos de electricidad y de gas. Y manejan un importante volumen de datos personales.

De ahí la necesidad y obligación de cumplir con la normativa de Protección de Datos.

¿No sabes por dónde empezar?

No eres el único.

Muchas empresas energéticas desconocen qué deben hacer para cumplir el RGPD. Por eso aquí te cuento lo que debes hacer.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

¿Cómo deben cumplir las empresas energéticas el RGPD?

Las empresas que prestan servicios energéticos forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un cliente contrata la prestación de servicios de luz o gas o cedes los datos de tus empleados para que elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debe realizar en tu empresa de energía para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

Pero no te preocupes, te explico paso por paso todo lo que debes hacer.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en el sector energetico

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

Ni más ni menos.

Debes responder a preguntas como:

  • Tipo de datos que recopilamos
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedemos esos datos o los transferimos fuera de nuestro país
  • Medios de tratamiento

Para ello es necesario realizar un registro de actividades de tratamiento que debes mantenerlo actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

En tu empresa debes también realizar análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios
    • de salud …
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

3. Evaluación de impacto

Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertados de los interesados; tras estos análisis tendrás que implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

¿Te has quedado como estabas?

Resumiendo

En tu empresa energética estarías obligado a realizar esta Evaluación de impacto ya que se efectúa una evaluación sistemática de aspectos personales de personas físicas basada en un tratamiento automatizado. O, con otras palabras, se elaboran perfiles basados en el comportamiento con fines comerciales.

4. Contratos con terceros

El sector energético se relaciona constantemente con terceros que también disponen de algunos de los datos de los usuarios.

¿Has contratado una gestoría que te lleve los temas fiscales y laborales?

¿Y una empresa informática que realice el mantenimiento de los equipos o la página web?

Pues esos son terceros a los que cedes datos de tus clientes o empleados.

Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa de Protección de Datos.

Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

5. Página web

Si ofreces los servicios a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la empresa energética y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de clientes

Esto es importante.

No lo olvides.

Además de actualizar la política de privacidad, en la empresa energética debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la empresa

En caso de que el cliente facilite sus datos personalmente en la oficina, debe firmar un documento en el que se le informe sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos.

Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En tu empresa energética debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

El derecho a la portabilidad de los datos, complementario al de acceso, es otra de las novedades del RGPD y obliga a facilitar al cliente los datos aportados, en un formato de lectura mecánica o fácil.

Además, implica que esos datos personales podrán transmitirse, directamente, entre empresas y sin necesidad de entregarlos previamente al usuario.

8. Contratos con empleados

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad.

¿Para qué?

Para evitar que esa información sea revelada a personas no autorizadas.

También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En una energética, hay varios departamentos que tienen acceso a un correo electrónico, que se comunican entre ellos internamente, y también que tienen comunicaciones con clientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

9. Notificar brechas de seguridad

¡Ojo! Esto te afecta.

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la empresa energética, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

10. Nombrar un DPD

Puede ser necesario que en la empresa energética, por el volumen de datos que trates, debas designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Cómo puedo demostrar que mi empresa cumple la normativa de Protección de datos?

Puedes demostrar el cumplimiento de las siguientes formas:

  • Aplicando políticas internas de protección de datos.
  • Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
  • Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados por las autoridades públicas independientes de supervisión de los Estados miembros de la UE.
  • Cumpliendo las directrices emitidas por el Consejo Europeo de Protección de Datos.
  • Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.

¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?

En el RGPD no existe obligación de que se realicen auditorías o inspecciones periódicamente. Pero la AEPD, como autoridad de control, tiene la potestad de llevarlas a cabo dentro de sus competencias de inspección. Sin embargo, esto no significa que las auditorías o inspecciones autoimpuestas no sean aconsejables o incluso un requisito de hecho para el cumplimiento del RGPD.

¿Las redes inteligentes atentan contra la seguridad en la protección de datos?

Por supuesto. Es indudable que la rentabilidad del mercado energético se ha visto favorecida por la implantación de las redes inteligentes. Pero, a la vez, estos sistemas suponen un riesgo y desafío para el tratamiento de los datos personales.

Los responsables de las empresas, en este ámbito, serán los encargados de revisar y supervisar las medidas de seguridad adoptadas a lo largo de toda la vida útil del sistema de medición.

¿La recarga de un vehículo eléctrico pone en riesgo los datos personales?

, puede suponer un riesgos para los datos personales. Los vehículos eléctricos van a estar conectados constantemente tanto a la red eléctrica como a las redes de datos y esto puede poner en riesgo la seguridad de los datos, tanto personales como bancarios, de los usuarios.

Las compañías gestoras deberán asegurar la encriptación de estos datos y mejorar los protocolos de seguridad que utilizan los puntos de recarga.

¿Qué permite el ejercicio del derecho a la portabilidad de datos?

En primer lugar, es un derecho a recibir datos personales tratados por un responsable de tratamiento, y para almacenarlos para su uso personal adicional en un dispositivo privado, sin transferirlo a otro responsable.

En segundo lugar, este derecho también ofrece a los interesados ​​la posibilidad de transmitir su información personal de un responsable de tratamiento a otro “sin obstáculos”. Facilita su capacidad para mover, copiar o transferir datos personales fácilmente desde un entorno de TI a otro.

¿Es legal recibir publicidad por teléfono, por correo electrónico o en el móvil?

En este caso, debemos distinguir dos supuestos:

  • Las llamadas o mensajes automáticos, es decir, en los que no existe la intervención física de una persona, requieren consentimiento previo por parte del abonado para que se realicen.
  • Las llamadas en las que interviene una persona son legales a menos que el abonado haya manifestado su deseo expreso de no recibirlas. Así mismo, aunque el abonado haya decidido no figurar en la guía telefónica, sí puede dar su consentimiento para recibir este tipo de llamadas.

El titular de los datos puede ejercitar su derecho a cancelarlos o rectificarlos solicitándolo directamente al operador. Si en el plazo de 10 días no recibe contestación o ésta no es satisfactoria, puede reclamar ante la AEPD acreditando la presentación de la solicitud.

En cuanto a los correos electrónicos, existe una práctica muy extendida denominada ‘Spam’ que comprende todo tipo de comunicación no solicitada realizada por vía electrónica. La LSSI solamente autoriza el envío de comunicaciones comerciales con el consentimiento previo del receptor o si ha habido un contrato previo entre la empresa y el abonado.

¿Puedo incluir datos de clientes en una lista de morosos?

La inscripción en el fichero de impagados sólo podrá efectuarse cuando concurran los siguientes requisitos:

  • Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.
  • Requerimiento previo de pago.
  • No podrán incluirse datos sobre los que exista un principio de prueba documental que contradiga alguno de los requisitos anteriores.
  • Se efectuará una notificación al interesado por cada deuda concreta.
  • No podrán incluirse datos con más de seis años de antigüedad.

El titular de los datos puede ejercitar el derecho a cancelarlos o rectificarlos solicitándolo directamente al operador. Si en el plazo de 10 días no recibe contestación o ésta no es satisfactoria, puede reclamar ante la Agencia Española de Protección de Datos acreditando la presentación de la solicitud.

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten inexactos o incompletos.

Las infracciones que puedan cometerse en la gestión de esos registros se sancionan por la AEPD.

Plantillas

Aquí te dejo los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu empresa energética.

Sanciones

Aquí está la parte más escabrosa.

El incumplimiento de las previsiones establecidas en el RGPD, se sanciona con mayor dureza que hasta ahora y se han incrementado notablemente las posibles multas hasta un máximo de veinte millones de euros o el 4% del volumen de negocio total anual del ejercicio anterior.

Hay determinadas acciones, como encender la televisión, poner la calefacción, cocinar…, que las compañías aprovechan para analizar nuestro comportamiento y ofrecernos un servicio más personalizado. Con ello nuestra información personal puede verse en peligro dado el gran volumen de datos recogidos por las empresas, quienes tienen que extremar la precaución en el almacenamiento y tratamiento de dicha información.

Ya lo dice el refrán.

Más vale prevenir que curar.

Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD a empresas energéticas.

No atender debidamente el ejercicio del derecho de acceso

El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, en forma legible e inteligible. Resolución AEPD R/01213/2018

Tratar datos personales sin el consentimiento expreso de su titular

El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. Corresponde siempre al responsable del tratamiento comprobar que tiene el consentimiento del afectado cuando realiza algún tratamiento con los datos personales de éste. Resolución AEPD R/00743/2018

Espero que con esto tengas claro cómo adaptar tu empresa de energía a la nueva normativa de Protección de datos y evites ser sancionado.

¿Necesitas cumplir el RGPD?

Protección de datos en el sector energético
4.7 (94.55%) 11 votos