La Agencia Española de Protección de Datos (AEPD) impone una multa de 40.000 euros a Iberdrola tras la denuncia de un cliente al haber permitido que una tercera persona cambiara su potencia contratada.

La Agencia considera que esto supone una infracción grave de la ley de Protección de Datos.

La compañía eléctrica no habría adoptado las medidas técnicas y organizativas que impidan el acceso no autorizado a los datos de sus clientes.

Acceso a datos personales sin consentimiento

Un vecino de Guipúzcoa descubrió que su compañía eléctrica, Iberdrola, le había rebajado la potencia contratada sin que él lo solicitara.

Cuando llamó para interesarse, le comunicaron que la rebaja había sido tramitada a través del portal web. Sin embargo, el titular del contrato nunca se había conectado a dicho portal.

La compañía restauró la potencia contratada y anuló los importes incorrectos facturados por la rebaja. Pero no aclaró por qué se había producido esa rebaja ni quién había tenido acceso al portal web.

El cliente remitió sendos escritos en un periodo de una semana solicitando una explicación seria sobre los hechos ocurridos. Y claridad en el uso de los datos como usuario debido a la inseguridad de que alguien pueda tener sus datos personales.

Tras hacer las correspondientes averiguaciones, se señaló a la inquilina del vecino agraviado como la persona que había hecho los cambios. El titular del contrato decidió interponer una denuncia a la compañía eléctrica ante la AEPD por haber permitido que a través de su web se rebajara la potencia contratada en su domicilio sin su consentimiento.

Resolución de la AEPD

La Agencia considera que el sistema de gestión de accesos a la zona de usuarios de la web de Iberdrola “no impidió de manera fidedigna que un tercero pudiera acceder a los datos personales de otro cliente”, debido a una serie de deficiencias que “han quedado acreditadas por la documentación aportada al expediente”.

La AEPD estima que se ha cometido una infracción grave de la Ley de Protección de Datos. E impone una multa a la compañía eléctrica de 40.000 euros.

Esta normativa establece el “principio de seguridad de los datos”. Este principio conlleva la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad. Para evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Se entiende que la compañía eléctrica no adoptó medidas de seguridad de nivel básico destinadas a salvaguardar la confidencialidad y seguridad de los datos de carácter personal recabados por la entidad.

De este modo, insta a la empresa a adoptar de manera efectiva las medidas técnicas y organizativas necesarias previstas. Y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros.

Multa de la AEPD a Iberdrola por permitir el acceso a datos personales
1.9 (38%) 20 votos