La AEPD multa a EDP Comercializadora, S.A.U con 1,5 millones de euros por dos infracciones del RGPD.
EDP Comercializadora, S.A.U, la compañía energética, ha sido multada por dos infracciones del RGPD. Se concluyó que las medidas técnicas y organizativas de la empresa eran insuficientes para verificar si alguien que se estaba dando de alta en los servicios en nombre de otra persona contaba con la debida autorización para hacerlo. Asimismo la AEPD apuntó que en algunos casos EDP no estaba proporcionando a los interesados la suficiente información relativa al tratamiento de sus datos personales. Se impuso por ello una multa de 1,5 millones de euros, conforme al artículo 83 del RGPD.
La AEPD multa a EDPB Comercializadora, S.A.U con 500.000€ por infracción del artículo 25 del RGPD.
El artículo 25 (2) del RGPD establece el requisito de implementar medidas técnicas y organizativas apropiadas para asegurar la protección de datos personales, tanto desde el momento de la recogida de los mismos como durante su almacenamiento y tratamiento. Además, el Reglamento estipula que “tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.” EDP no implementó las suficientes medidas para evitar y mitigar los riesgos asociados con el tratamiento de datos personales en los casos en que alguien se daba de alta en los servicios por parte de un tercero. En concreto, no se verificaba de manera adecuada que dicha persona tenía por un lado, autorización para contratar en nombre del titular y, por otro, autorización para tratar sus datos personales. Así por tanto y siguiendo el artículo 83 (4) (a) del RGPD, la AEPD impuso una multa de 500.000€ por esta infracción.
La AEPD ha impuesto también una multa adicional de 1 millón de euros.
El artículo 13 del RGPD contiene de manera detallada la información que se le debe proporcionar a los interesados en el momento de la recogida de sus datos personales. Tras revisar el documento que EDP entregaba a los sujetos a este fin, se detectaron deficiencias en lo que concierne a la identificación del responsable, las bases legítimas del tratamiento aparte del consentimiento, la finalidad del tratamiento vinculado a la elaboración de perfiles y la posibilidad de oponerse al tratamiento cuando éste se base en interés legítimo. Además, en algunos de los procedimientos de la empresa, por ejemplo en la contratación telefónica, el método de acceso a la información no era sencillo ni inmediato. Por este motivo la AEPD impuso una multa de 1.000.000 €.
