La Agencia Española de Protección de Datos (en adelante “AEPD”) ha emitido una resolución sancionado a la empresa eléctrica Endesa por el incumplimiento del Reglamento General de Protección de Datos (en adelante “RGPD”). La sanción impuesta por la AEPD analiza y comprende hasta 5 infracciones distintas por parte de la eléctrica, y, en total, asciende a los 6 millones de euros.
Fundamentalmente, la sanción impuesta por la AEPD es consecuencia de una defectuosa gestión de una brecha de seguridad que afectó a datos personales de clientes de Endesa, y, además, pudo exponer a terceros datos técnicos (no personales) de 30,6 millones de puntos de suministro eléctrico y 8,6 de gas, con la gravedad de que en este caso podían ser de cualquier compañía eléctrica o gasista.
4,8 millones de clientes de electricidad y 1,2 millones de clientes de gas, todos ellos de Endesa, vieron sus datos personales expuestos como consecuencia de la brecha de seguridad. Entre otros, el nombre y apellidos del titular del punto de suministro, su número de Documento Nacional de Identidad, el número de contrato, el importe de facturación anual, los datos técnicos referentes al punto de suministro, datos de consumo y gráfico de utilización.
La resolución de la AEPD también analiza en detalle el origen de la brecha, poniendo de manifiesto, asimismo, la tardía e inadecuada gestión de la misma por parte de Endesa: La eléctrica descubrió en agosto de 2021 que se estaba llevando a cabo en la red social Facebook la práctica de publicar y comercializar las claves de acceso de una de las plataformas del “Área Cliente” de Endesa (Sales Folder).
La AEPD determinó que la actuación de la eléctrica infringía el RGPD hasta por 5 motivos distintos, imponiendo, por todos ellos, una sanción de 6 millones de euros.
