Protección de Datos para empresas de energía
Guía 2021
Las empresas de suministros energéticos de electricidad y gas manejan un importante volumen de datos personales, lo que les obliga a cumplir con la normativa de protección de datos. ¿Pero saben cómo hacerlo de forma adecuada? En esta guía explicaremos los aspectos fundamentales para adaptar a la normativa de protección de datos tu empresa de energía.
Normativa vigente de Protección de Datos en el sector energético
Encontramos la normativa vigente en protección de datos en el sector energético en las propias leyes de protección de datos, pero también en leyes de aplicación en este sector en concreto:
- RGPD, Reglamento General de Protección de Datos, mediante el que se regula el marco europeo en materia de protección de datos.
- LOPDGDD, Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, mediante la que adaptó el RGPD al ordenamiento jurídico español.
- Ley 24/2013, del Sector Energético.
Obligaciones del sector energético con la LOPDGDD y el RGPD
Las empresas del sector energético manejan un gran volumen de datos personales, y aunque son considerados de categoría genérica (identificativos, bancarios, etc.), dada esa gran cantidad y trato sistemático (todos los meses o cada dos meses, pasan factura a sus clientes), deben cumplir con las obligaciones en protección de datos recogidas en la LOPDGDD y el RGPD.
Pero no solo de cara a sus clientes, la protección de datos también deben extenderla a sus empleados, cuya información personal es almacenada en los sistemas informáticos y archivos físicos de la empresa.
Así, las principales obligaciones de protección de datos para el sector energético son:
- La realización del registro de actividades de tratamiento
- La elaboración de análisis de riesgos
- La elaboración de evaluaciones de impacto
- Recabar el consentimiento de sus clientes
- Facilitar a sus clientes el ejercicio de sus derechos
- El nombramiento de un Delegado de Protección de Datos (DPO)
En los siguientes puntos iremos desarrollando cada una de estas obligaciones y lo que suponen.
¿Cómo adaptar mi empresa energética a la protección de datos?
Adaptar una empresa energética a la protección de datos es un proceso que requiere tanto determinar el tipo de datos personales que se van a recabar como el tipo de tratamientos que se va a hacer de ellos (para qué se van a utilizar, básicamente, y cómo se van a gestionar y almacenar), así como la adopción de las medidas técnicas y organizativas que garanticen la salvaguarda de la información personal y el cumplimiento normativo.
Registro de actividades de tratamiento
Uno de los primeros pasos para que una empresa del sector energético cumpla con la protección de datos, es llevar a cabo un registro de actividades de tratamiento; se trata de un listado de todos los tratamientos de datos personales que se llevan a cabo dentro de la organización (clientes, empleados, contabilidad, videovigilancia, etc.).
Elaborar el registro de actividades de tratamiento es responsabilidad del responsable del tratamiento, que es la propia empresa energética. En él debe figurar, como mínimo, la siguiente información relativa al tratamiento:
- La identidad y los datos de contacto del responsable del tratamiento y, si hubiera, del corresponsable, del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
- La legitimación del tratamiento
- La finalidad el tratamiento
- Descripción de las categorías de datos e interesados
- Descripción de destinatarios (si se producen cesiones a terceros)
- Información relativa a las transferencias internacionales de datos (cuando proceda)
- Descripción de las medidas de seguridad adoptadas
- Plazo para la supresión de los datos personales
El registro de actividades de tratamiento debe mantenerse siempre actualizado y, aunque en principio es un documento interno, debe ponerse a disposición de la AEPD (Agencia Española de Protección de Datos) cuando esta lo solicite.
Análisis de riesgos en empresas energéticas
Antes de llevar a cabo cualquier tipo de tratamiento de datos personales, por ejemplo, en una empresa de suministro de luz, recoger los datos de personas interesadas en recibir más información sobre sus tarifas vía formulario en su página web, es necesario llevar a cabo un análisis de riesgos para determinar qué tipo de amenazas pueden derivarse de ese tratamiento (por ejemplo, hackear la base de datos y robarlos).
El análisis de riesgos tiene como objetivo determinar cuál es el nivel de riesgo para los derechos y libertades de los interesados (clientes y empleados en este caso), al tratar sus datos personales. Es decir, la posibilidad que existe de que esos riesgos se materialicen y las consecuencias que tendría para las personas afectadas (siguiendo con el ejemplo, si se produce ese hackeo y datos como nombres y apellidos y teléfono de contacto se filtran en la Red).
El análisis de riesgos también servirá para diseñar e implantar las medidas de seguridad necesarias para minimizar esa posibilidad de que las amenazas ocurran y, en caso de hacerlo, para reducir lo máximo posible su impacto en la vida de los interesados.
¿Es necesario hacer una evaluación de impacto?
La EIPD, evaluación de impacto de protección de datos, solo es necesario llevarla a cabo cuando del análisis de riesgos de un tratamiento de datos personales se concluye que el nivel de riesgo para los derechos y libertades de los interesados es muy alto.
Además, la EIPD es obligatorio realizarla cuando se van a tratar datos personales a gran escala, de forma sistemática y automatizada (como ocurre, por ejemplo, en la elaboración de perfiles), algo que muy probablemente ocurre en los tratamientos de datos personales de las empresas del sector energético.
De manera que las empresas energéticas también deben llevar a cabo una evaluación de impacto, cuya función es similar al análisis de riesgos, puesto que sus conclusiones servirán para determinar si llevar a cabo un tratamiento de datos implica un nivel de riesgo para los interesados muy alto y, por tanto, lo mejor es no realizar el tratamiento, y para implantar las medidas de seguridad necesarias para que el nivel de riesgo sea tolerable, reduciendo las posibilidades de que se materialice, así como el impacto negativo en los interesados.
Consentimiento de los clientes
Una de las obligaciones que introdujo el RGPD fue la necesidad de recabar el consentimiento expreso de los interesados para poder tratar sus datos personales.
En lo que respecta a la protección de datos en el sector energético, es necesario recoger este consentimiento de los clientes mediante una acción afirmativa, para ello se puede incluir una cláusula informativa sobre el tratamiento de sus datos en el formulario de contacto en la web o, a la hora de formalizar el contrato de servicios, en el propio contrato. La cuestión es que la organización guarde un registro de este consentimiento expreso.
En la información que se suministra en el documento de consentimiento o en el formulario, al menos deben figurar:
- La identidad del responsable del tratamiento
- La finalidad del tratamiento
- Si los datos serán cedidos a terceros
- La forma en que los interesados pueden ejercer sus derechos
Contratos de encargo con terceros
Cuando una empresa del sector energético contrata los servicios de un tercero para llevar a cabo alguna función o servicio que implique la cesión de datos personales para poder llevarla a cabo, es necesario firmar con dicho tercero un contrato de encargo de tratamiento.
Este contrato sirve para que el responsable del tratamiento especifique qué tratamiento de datos debe llevar a cabo el encargado del tratamiento y con qué fines, además de asegurar que el encargado tomará las medidas de seguridad oportunas para salvaguardar los datos cedidos, cumpliendo con todos los requisitos que exige la normativa de protección de datos.
Esta cesión de datos personales se produce, por ejemplo, cuando la empresa de energía contrata los servicios de una gestoría para la gestión y pago de nóminas de sus empleados o los servicios de una empresa de computación en la nube, para almacenar sus bases de datos online.
Página web de la compañía energética
Si tu empresa de energía tiene una página web, tanto para publicitar tus servicios como para captar clientes mediante formularios o incluso contratar tus servicios online, tanto la normativa de protección de datos como la LSSI-CE obligan a que se incluyan en la web una serie de textos legales, que deben estar accesibles desde cualquier sección de la página, además de redactados de forma clara y comprensible.
Estos textos legales son los siguientes:
- Aviso legal: En este texto debe figurar toda la información relativa al titular de la web, que será la propia compañía energética:
- Nombre o razón social
- NIF
- Dirección
- Nº de inscripción en el Registro Mercantil
- Política de privacidad: Aquí se debe incluir toda la información relativa al tratamiento de datos personales que se lleva a cabo en la web. Como mínimo debe incluir:
- Nombre del responsable del tratamiento
- Finalidad del tratamiento
- Legitimación
- Descripción de la forma en que se gestionarán los datos personales
- El plazo de conservación de los datos
- Si se producirán cesiones a terceros y cuáles son estos
- Vías para que los interesados ejerzan sus derechos
- Términos y condiciones de contratación: Si en la página web se puede llevar a cabo la contratación de servicios de suministro energético, también se debe incluir este texto legal en el que se detallan las condiciones de contratación del servicio. Debe incluir:
- Precios
- Plazos y políticas de prestación del servicio
- Métodos de pago
- Condiciones particulares
- Política de cancelación
- Derechos de desistimiento
- Política de cookies: Actualmente, cualquier página web genera cookies, sean estas propias o de terceros, por lo que se debe informar a los interesados de su existencia y, aparte de darles la posibilidad de aceptarlas o no o configurarlas, es necesario suministrarles la información correspondiente a ellas (finalidad, titular, duración, etc.), tal y como especifica la ley de cookies.
¿Necesitas cumplir el RGPD?
Derechos de los clientes / usuarios
Hemos mencionado los derechos de los interesados varias veces, pero ¿qué son estos derechos de los clientes / usuarios?
Se trata de una serie de derechos que el RGPD reconoce a los interesados y que estos pueden ejercer en cualquier momento respecto a sus datos personales. El objetivo de estos derechos es dar a los ciudadanos un mayor control sobre los datos personales que ceden a organizaciones. Anteriormente conocidos como derechos ARCO, estos derechos son:
- Acceso
- Rectificación
- Supresión
- Limitación del tratamiento
- Portabilidad
- Oposición
- Que los datos no sean empleados en procesos de decisiones automatizadas que pudieran perjudicar sus derechos y libertades
La empresa de energía tiene la obligación de atender las solicitudes de estos derechos y cumplirlas de manera inmediata. Obstaculizarlas o ignorarlas es motivo de sanción por parte de la AEPD.
Contratos de confidencialidad empleados
Aquellos empleados que vayan a tener acceso a los datos personales que se trata en la empresa de energía, deben cumplir también las obligaciones de la normativa de protección de datos. Es deber del responsable del tratamiento asegurarse que sus empleados respetan tanto la confidencialidad de la información como las medidas de seguridad implantadas para protegerla.
Una forma de asegurar esta confidencialidad, aparte de concienciar a la plantilla sobre la importancia de la protección de datos, es recurrir a cláusulas de confidencialidad incluidas en el contrato de trabajo o bien a la firma de un acuerdo de confidencialidad independiente, en el que se especifiquen obligaciones, responsabilidades respecto a la protección de datos y consecuencias de no cumplir con ellas.
Notificar brechas de seguridad
Pese a la implantación de medidas de seguridad, siempre hay una posibilidad de que ocurra una brecha de seguridad que pueda poner en riesgo los datos personales que almacena y gestiona la compañía. Por ese motivo, es necesario tener implementado un protocolo que no solo servirá para solucionar el incidente lo más rápido posible, sino también para notificar a la AEPD y a los interesados afectados en el menor tiempo posible.
El RGPD y la LOPDGDD exigen que se notifiquen las brechas de seguridad a la autoridad de control, la AEPD, en un plazo máximo de 72 horas, cuando la brecha de seguridad pueda poner en riesgo los derechos y libertades de los interesados.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Delegado de Protección de Datos
Por los mismos motivos que una empresa del sector energético tiene la obligación de llevar a cabo la evaluación de impacto, también debe nombrar un DPO.
El Delegado de Protección de Datos se encargará de supervisar los procesos y políticas internas del tratamiento de datos personales de la compañía. Asesorará al responsable del tratamiento, solucionará las dudas que puedan surgir y cooperará con la AEPD cuando sea necesario, entre otras funciones.
La normativa establece que el DPO puede ser tanto una persona interna de la empresa como un profesional externo contratado. En cualquier caso, es necesario que esta persona cuente con los conocimientos necesarios en materia de protección de datos para desempeñar todas sus funciones de manera adecuada.
Además, el nombramiento del DPO debe hacerse público y comunicarse a la AEPD.
Modelos para empresas del sector energético
Para facilitarte la adaptación de tu empresa del sector energético a la protección de datos, aquí puedes descargar muchos de los documentos que vas a necesitar y que hemos ido viendo a lo largo de esta guía.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
Sanciones por incumplimiento de la normativa de protección de datos
Ya conoces las obligaciones que tu empresa de energía debe cumplir en materia de protección datos, ahora veamos qué ocurre cuándo no las cumples.
El RGPD y la LOPDGDD establecen un régimen sancionador para aquellas organizaciones que se saltan algún aspecto de la normativa. Estas sanciones administrativas, que en España impone la AEPD, se gradúan en función de su gravedad, el tipo de infracción, su duración en el tiempo, el número de personas afectadas y la negligencia o intencionalidad de la infracción, es decir, no solo de sanciones el haber cometido una infracción a sabiendas, sino el no haber puesto las medidas necesarias para evitar, por ejemplo, una filtración de datos personales.
De acuerdo a la LOPDGDD tenemos las siguientes infracciones y sanciones:
- Infracciones leves (art. 74) = hasta 40.000 euros de multa
- Infracciones graves (art. 73) = desde 40.000 a 300.000 euros de multa
- Infracciones muy graves (art. 72) = desde 300.000 a 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte mayor)
Ejemplos
Veamos dos ejemplos de sanciones a empresas de energía por incumplir la normativa de protección de datos:
Dos filiales de EDP Energía fueron sancionadas por la AEPD con una multa de 3 millones de euros (1,5 millones cada una), por no comprobar que los representantes de sus clientes estaban debidamente acreditados y solicitarles a ellos el consentimiento para enviar comunicaciones comerciales a dichos clientes. Resolución PS/00037/2020 y Resolución PS/00236/2020.
Preguntas frecuentes
¿Cómo puedo demostrar que mi empresa cumple la normativa de Protección de datos?
Hay diferentes formas y acciones con las que puedes demostrar que tu empresa cumple con la normativa de protección de datos:
- Aplicando políticas internas de protección de datos.
- Sometiendo a la empresa a auditorías periódicas de protección de datos.
- Adoptando códigos de conducta aprobados por asociaciones y otros organismos que representan categorías de responsables y encargados del tratamiento.
- Obteniendo certificaciones de protección de datos por parte de organismos de certificación acreditados por las autoridades públicas independientes de supervisión de los Estados miembros de la UE.
- Cumpliendo las directrices emitidas por el Consejo Europeo de Protección de Datos.
- Cumpliendo las indicaciones específicas dadas por un Delegado de Protección de datos.
¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?
El RGPD no exige la obligación de someterse a auditorías o inspecciones periódicas, pero sí que exige demostrar que se cuenta con las medidas de seguridad adecuadas y efectivas para garantizar la protección de datos y el cumplimiento de la norma. Por ello es aconsejable someterse cada uno o dos años (o cuando se produzcan cambios significativos en los sistemas de información) a auditorías que evalúen esos aspectos.
Además, la AEPD, como autoridad de control, tiene la potestad de llevarlas a cabo dentro de sus competencias de inspección.
¿Las redes inteligentes atentan contra la seguridad en la protección de datos?
Por supuesto. Es indudable que la rentabilidad del mercado energético se ha visto favorecida por la implantación de las redes inteligentes. Pero, a la vez, estos sistemas suponen un riesgo y desafío para el tratamiento de los datos personales.
Los responsables de las empresas, en este ámbito, serán los encargados de revisar y supervisar las medidas de seguridad adoptadas a lo largo de toda la vida útil del sistema de medición.
¿La recarga de un vehículo eléctrico pone en riesgo los datos personales?
Sí, puede suponer un riesgo para los datos personales. Los vehículos eléctricos van a estar conectados constantemente tanto a la red eléctrica como a las redes de datos y esto puede poner en riesgo la seguridad de los datos, tanto personales como bancarios, de los usuarios.
Las compañías gestoras deberán asegurar la encriptación de estos datos y mejorar los protocolos de seguridad que utilizan los puntos de recarga.
¿Qué permite el ejercicio del derecho a la portabilidad de datos?
En primer lugar, es un derecho a recibir datos personales tratados por un responsable de tratamiento, y para almacenarlos para su uso personal adicional en un dispositivo privado, sin transferirlo a otro responsable.
En segundo lugar, este derecho también ofrece a los interesados la posibilidad de transmitir su información personal de un responsable de tratamiento a otro «sin obstáculos». Facilita su capacidad para mover, copiar o transferir datos personales fácilmente desde un entorno de TI a otro.
¿Es legal recibir publicidad por teléfono, por correo electrónico o en el móvil?
En este caso, debemos distinguir dos supuestos:
- Las llamadas o mensajes automáticos, es decir, en los que no existe la intervención física de una persona, requieren consentimiento previo por parte del abonado para que se realicen.
- Las llamadas en las que interviene una persona son legales a menos que el abonado haya manifestado su deseo expreso de no recibirlas. Así mismo, aunque el abonado haya decidido no figurar en la guía telefónica, sí puede dar su consentimiento para recibir este tipo de llamadas.
El titular de los datos puede ejercer su derecho a cancelarlos o rectificarlos solicitándolo directamente al operador. Si en el plazo de 10 días no recibe contestación o esta no es satisfactoria, puede reclamar ante la AEPD acreditando la presentación de la solicitud.
En cuanto a los correos electrónicos, existe una práctica muy extendida denominada ‘Spam’ que comprende todo tipo de comunicación no solicitada realizada por vía electrónica. La LSSI-CE solamente autoriza el envío de comunicaciones comerciales con el consentimiento previo del receptor o si ha habido un contrato previo entre la empresa y el abonado.
¿Puedo incluir datos de clientes en una lista de morosos?
La inscripción en el fichero de impagados solo podrá efectuarse cuando concurran los siguientes requisitos:
- Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.
- Requerimiento previo de pago.
- No podrán incluirse datos sobre los que exista un principio de prueba documental que contradiga alguno de los requisitos anteriores.
- Se efectuará una notificación al interesado por cada deuda concreta.
- No podrán incluirse datos con más de seis años de antigüedad.
El titular de los datos podrá ejercer el derecho a cancelarlos o rectificarlos solicitándolo directamente al operador, si son incorrectos o la deuda está saldada. Si en el plazo de 10 días no recibe contestación o no es satisfactoria, podrán presentar la correspondiente reclamación ante la AEPD.
Aquellos datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto por la LOPDGDD o el RGPD, deben ser rectificados o cancelados, especialmente cuando resulten inexactos o incompletos.
No hacerlo o no atender la solicitud de los interesados en este caso, puede suponer la imposición de sanciones por parte de la AEPD.
¿Dónde encontrar un especialista en protección de datos para mi empresa energética?
Si necesitas contratar a un especialista en protección de datos para tu empresa energética, no dudes en usar nuestro buscador para encontrar el más cercano a ti. Podrás solicitar varios presupuestos, comparar y contratar el que más se ajuste a tus necesidades.
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.