El pasado 1 de marzo, la AEPD hizo pública la sanción impuesta a I-DE (anteriormente conocida como Iberdrola) por incumplimiento del RGPD. El procedimiento sancionador trae causa de la reclamación interpuesta por dos entidades comercializadoras (WATIUM, S.L. y ENERGIA Y SERVICIOS ABY 2018, S.L.), que pusieron de manifiesto ante la Agencia el uso contrario a la normativa que I-DE había efectuado de los datos personales de los clientes finales.
La empresa comercializadora de energía eléctrica WATIUM, S.L. tiene suscrito con I-DE un contrato de acceso a la red eléctrica por el que WATIUM, S.L. ejerce funciones de mandatario o sustituto de los clientes finales. Para que el servicio pueda ser prestado, WATIUM, S.L. precisa comunicar ciertos datos de los consumidores a I-DE. Estos datos incluyen, entre otros, datos de identificación del consumidor final, dirección de suministro, potencia contratada, etc.
De acuerdo con los principios de “limitación de la finalidad” y “minimización de datos”, recogidos en los apartados b) y c) del artículo 5.1 del RGPD, I-DE sólo puede hacer uso de aquellos datos de los clientes finales que resulten adecuados, pertinentes y limitados a lo necesario para tratar los datos con la exacta finalidad para la que han sido recogidos (o para otra finalidad compatible). En particular, el contrato firmado entre las comercializadoras e I-DE indica de forma clara que las entidades comercializadoras traspasarán a I-DE datos personales de sus clientes finales a los solos efectos de que I-DE pueda hacer llegar a estos el suministro eléctrico.
Pese a lo anterior, ante presuntos impagos por parte de las entidades comercializadoras, I-DE decidió remitir a cientos de clientes finales de tales entidades cartas informando sobre estos supuestos incumplimientos, instando a los consumidores a contactar con las compañías para que procedieran a la subsanación del problema. Ante la propuesta de sanción de la AEPD, I-DE alegó estar facultada para dirigirse directamente al consumidor final en caso de imago de conformidad con el artículo 4.4 Real Decreto 1164/2001, de 26 de octubre, por el que se establecen tarifas de acceso a las redes de transporte y distribución de energía eléctrica. No obstante, recuerda la AEPD, el citado artículo permite a las empresas distribuidoras dirigirse al cliente final a los solos efectos de realizar requerimientos de pago de la tarifa eléctrica cuando el cliente sea el deudor directo, lo que no sucedía en el presente caso.
Por otro lado, tras realizar el oportuno juicio de ponderación, señala la AEPD que no existe “interés legítimo” que justifique el tratamiento, como pretendía fundamentar I-DE.
A la vista de lo anterior, la AEPD ha decidido imponer a I-DE una sanción de 200.000 € (infracción “muy grave”) por vulneración de los artículos 5.1.b) y c) y 6.1.b) del RGPD.