Sanción a EDP por no realizar una verdadera implantación de medidas garantes de la privacidad
El martes 4 de mayo la Agencia Española de Protección de Datos (AEPD) emitió dos resoluciones sancionando a EDP Comercializadora S.A.U y EDP Energía S.A.U, a las que nos referiremos de ahora en adelante comúnmente como EDP, con un millón y medio de euros a cada una por las mismas infracciones en el tratamiento de los datos personales: 500.000€ por no implementar controles mitigadores efectivos de los riesgos detectados en su análisis de riesgos y 1.000.000 por no informar apropiadamente del tratamiento de los datos personales de los clientes.
Estas sanciones se producen a raíz de una practica de EDP por la cual se solicitaba al representante del cliente el consentimiento para poder realizar comunicaciones comerciales personalizadas a este último. La AEPD establece que dicha acreditación de representación no ha sido solicitada por EDP, ni tampoco se acredita que el representante haya sido autorizado por el cliente para otorgar estos consentimientos, siendo obligación de EDP, como responsable del tratamiento, actuar diligentemente y verificar la existencia de estas autorizaciones.
Respecto de la sanción relativa al análisis de riesgos, EDP aportó con las alegaciones al acuerdo de inicio del procedimiento, entre otras evidencias, diversas evaluaciones de impacto relativas a cada canal de venta, de cara a demostrar que se había actuado con la debida diligencia en la evaluación de los riesgos, en la que se contempla como amenazas que la base que legitima el tratamiento no es adecuada y que en el momento de la recogida de los datos no se proporciona la información mínima prevista, estimándose el riesgo inherente a estas amenazas como alto, y determinando como controles mitigadores la base legitimadora del tratamiento respecto de la primera amenaza y la cláusula de protección de datos incluida en el contrato firmado con el cliente respecto de la segunda.
Además, se incluye como controles en curso para ambas amenazas la implantación de un nuevo procedimiento de contratación a través de representante, incorporando el envío de un mensaje SMS/Email a través del cual se facilita la información básica necesaria en materia de protección de datos al titular del contrato, sin que conste fecha de incorporación de estos controles a las evaluaciones.
Se alega por EDP que en julio de 2020 se presento ante la AEPD un nuevo procedimiento de contratación por terceros en nombre del titular que no tenia fecha de implantación a espera del dictamen de la AEPD sobre el mismo, determinando si era suficiente, antes de proceder a implantarlo e incurrir en los costes derivados de este proceso. Finalmente se indica por EDP que se ha producido su implantación en enero de 2021.
Por último, se indica por EDP que se ha procedido a eliminar estas peticiones de consentimiento a los representantes.
A raíz de esto, la AEPD dictamina que, si bien ve positivamente la eliminación de las peticiones de consentimientos, EDP no especifica que tratamiento se va a dar a las solicitudes previamente obtenidas y que no se ha aportado el análisis de riesgo del que deriva la modificación del procedimiento de contratación ni la fundamentación sobre la aptitud de las medidas adoptadas para minimizarlos.
Además, la AEPD indica que las obligaciones de realización de los análisis de riesgo y evaluaciones de impacto no son obligaciones meramente formales, sino que obligan al responsable a implementar medidas efectivas para la mitigación de los riesgos e se detecten en dichas evaluaciones, medidas que a su vez deben ser objeto del correspondiente análisis de riesgos para determinar su aptitud para conseguir el resultado perseguido, dictaminando que las actuaciones de EDP vienen a demostrar no se habían adoptado medidas para comprobar la existencia de autorización del cliente hacia su representante para contratar o para prestar el consentimiento hasta enero de 2021.
Por último, la AEPD que la decisión de EDP de no implementar el nuevo proceso de contratación hasta enero, a espera de la respuesta de la AEPD a suficiencia de las medidas adoptadas es contrario a los estipulado en el RGPD, que establece la obligación del responsable de aplicar las medidas oportunas y eficaces, así como valorar que dichas medidas resulten adecuadas, no estando la AEPD obligada a emitir dictamen alguno sobre la idoneidad de las mismas, y, por lo tanto, no pudiendo el responsable ampararse en la ausencia de respuesta de la Agencia como motivo del retraso en la implantación de las nuevas medidas.
Respecto a la infracción del deber de informar correctamente, la AEPD considera que existen diversos defectos en la actuación de EDP, que se reflejan en las siguientes actuaciones o informaciones emitidas por la misma a los interesados:
-No se le informa al interesado de sus derechos en el canal telefónico, ni de un canal para ejercerlos, no considerando la AEPD que la locución al inicio de la llamada en la que sí se indican todos los derechos y como ejercerlos, relativo a la grabación de la propia llamada, sea conforme con la posibilidad de informar por capas, ya que obliga al interesado a acudir a diferentes locuciones para conocer la información básica relativa a la protección de datos.
-No se proporciona una forma sencilla de acudir al resto de información sobre protección de datos (segunda capa) en la llamada, ya que el enlace proporcionado no conduce directamente a la política de privacidad (contenida en el apartado de condiciones generales), sino a la web principal de EDP, en la que luego el interesado debe realizar una búsqueda.
-No se puede amparar EDP en el cumplimiento del deber de informar por indicar que puede encontrarse toda la información en la política de privacidad, ya que la información básica (primera capa) debe proporcionarse en el momento de obtención de los datos (llamada telefónica, en este caso)
-No se establece claramente el responsable del tratamiento en la política de privacidad, indicándose como responsables a EDP Comercializadora S.A.U y EDP Energía S.A.U sin indicar de que tratamientos son responsables cada entidad.
-No se hace distinción entre las bases legitimadoras que amparan cada tratamiento de los indicados en la política, impidiendo a un interesado conocer claramente cuando un tratamiento de datos esta amparado por el interés legítimo, la ejecución de un contrato, el consentimiento, etc., estableciendo la AEPD que debe indicarse la base jurídica de cada tratamiento.
-No se informa claramente del interés legítimo perseguido por los responsables, dictaminando la AEPD que respecto del tratamiento la elaboración de perfiles basado en el interés legítimo, debe informarse del fin perseguido, del funcionamiento de la elaboración de perfiles o decisiones automatizadas, y aclararse al interesado que el tratamiento tiene fines tanto de elaboración de perfiles como de adopción de una decisión sobre la base del perfil generado, no informándose por EDP del tipo de perfiles que se van a realizar, los usos específicos a que se van a destinar estos perfiles o la posibilidad de que el interesado pueda ejercer el derecho de oposición.
-La política de privacidad debe incluir información sobre los derechos que asisten a los interesados que sea específica de los tratamientos realizados e incluir un resumen de lo que implica el derecho y de qué forma el interesado puede actuar para ejercerlo, así como cualquier limitación al derecho. En especial, debe indicarse a que tratamientos puede oponerse el interesado, que en el caso de EDP eran los relativos al interés legítimo.
En conclusión, mediante la presente resolución la AEPD pretende poner el foco de atención en que las empresas no deben centrarse únicamente en la literalidad contenida en el RGPD y la LOPDGDD, sino que deben dirigir sus esfuerzos a aplicar todas las medidas necesarias para que los preceptos de dichas normas tengan un reflejo real en sus actuaciones que realizan y las informaciones que los mismos entregan a los interesados. De esta manera la Agencia pretende garantizar que las actuaciones de privacidad de las empresas tengan como objeto la verdadera implantación del respecto a la privacidad de los interesados en los tratamientos que hagan de sus datos.
Enrique Extremera, Senior Privacy Counsel, Legal Army.