Sancionada con 90.000 euros MasLuz Energy por usar datos personales sin un consentimiento acreditado

La Agencia Española de Protección de Datos ha impuesto a MasLuz Energy Power una sanción de 90.000 euros por vulnerar los artículos 6 y 13 del Reglamento General de Protección de Datos en la tramitación de un contrato en el que se utilizaron datos personales cuyo origen se desconoce y en el que no se ha acreditado el consentimiento de la cliente, ni para la ratificación del contrato ni para el uso de los datos.

La reclamante denunció ante la AEPD que, tras recibir una llamada en la que le hacían una oferta de una tarifa de energía eléctrica, se produjo un cambio de comercializadora sin que ella lo autorizara ni facilitara datos personales ni bancarios. Cuando la nueva comercializadora, MasLuz, le cargó la primera factura trató de reclamar y envió un correo electrónico solicitando la supresión de sus datos personales y la copia de la grabación de la llamada en la que se había realizado la supuesta contratación. Le respondieron que procedían a ello, aunque no recibió ninguno de los datos requeridos.

MasLuz, cuya comercializadora era, hasta mayo de 2022, Suministrador Ibérico de Energía, asegura que, para que se produzca la contratación, se verifica la grabación de la llamada en la que una segunda empresa, que trabaja para ellos, ha conseguido el cliente. Se defiende asegurando que, solo una vez que esta segunda empresa, Alpa 57, ha recibido la confirmación de la voluntad de contratar y la autorización para que se usen los datos, estos se ponen a disposición de la compañía eléctrica. En esa grabación, MasLuz asegura que todo está en orden, que la contratación se ha llevado a cabo correctamente. En este caso, según la empresa, “la reclamante aceptó las condiciones del servicio tanto por vía telefónica como por SMS”. Esa grabación nunca fue aportada al procedimiento, a pesar de ser requerida por la AEPD. Si se facilitó una transcripción de la conversación con la reclamante, en la que esta da su autorización para el cambio de compañía comercializadora.

Edificio de la Agencia Estatal de Protección de Datos (Foto: Archivo)

La Administración también preguntó a Alpa 57, la empresa contratada para captar a los clientes, por el consentimiento para la utilización de los datos personales de la clienta y por el origen y la forma de obtención de los mismos, a lo que responden que “no pueden aportar la información solicitada, porque la contratación fue realizada por Gest Innova”, otra empresa a la que esta subcontrataba. Cuando la AEPD se dirige a esta tercera empresa, recibe como respuesta un documento notarial que acreditaba que la empresa se había constituido como tal con posterioridad a los hechos. Alpa 57 no volvió a pronunciarse ni facilitó el contrato que tenía con Gest Innova.

Los hechos probados de la resolución que pone fin a este expediente señalan que “los datos personales de la reclamante fueron incorporados a los sistemas de información de la compañía, sin que haya acreditado que hubiese contratado legítimamente, dispusiera de su consentimiento para la recogida y el tratamiento posterior de sus datos personales o existiese alguna otra causa que hiciese lícito el tratamiento efectuado”. MasLuz no ha aportado prueba de la contratación, la grabación del proceso de venta, a pesar de tener obligación de hacerla al ser la responsable del tratamiento (artículo 13 RGPD).

La AEPD recuerda que el tratamiento de datos personales solo será lícito cuando se contemple en alguno de los supuestos del artículo 6 del RGPD. Entre ellos se incluye que el titular haya prestado su consentimiento, que este sea necesario para la ejecución de un contrato en el que el interesado es parte, que sea necesario para el cumplimiento de una obligación legal, para proteger intereses vitales de una persona, para cumplir una misión realizada en interés público o para satisfacer otros intereses legítimos. El artículo 5 del mismo texto, por su parte, señala que la transparencia será uno de los principios que debe regir en el tratamiento. Y el artículo 13 incide en la necesidad de informar sobre, entre otras cuestiones, la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación, supresión, oposición o limitación al tratamiento. Además, cuando dichos datos se recaben del propio interesado, como en este caso, este debe ser informado en ese mismo momento.

En este caso, se advierte que la actitud de la reclamada incumple lo establecido en los artículos 6.1 y 13 del Reglamento General de Protección de Datos, lo que puede suponer multas que lleguen hasta los 20 millones de euros. Dado que se trata de una infracción calificada como muy grave por la LOPD, su plazo de prescripción es de tres años, por lo que, habiendo sucedido los hechos en 2021, aún pueden ser sancionados.

Teniendo en cuenta que los hechos “son imputables a una falta de diligencia de la entidad reclamada” y apreciando  como agravante, la evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos personales de clientes o de terceros, la AEPD impone una sanción de 70.000 euros por vulnerar el artículo 6 y de 20.000 euros por incumplir con el artículo 13, lo que suma una sanción de 90.000 euros. La resolución puede ser recurrida ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.