La compañía eléctrica EDF ha sido multada por la CNIL por sus prácticas de prospección comercial y otras infracciones del RGPD.
La compañía eléctrica francesa EDF ha sido multada recientemente con un total de 600.000 € por diversas infracciones del RGPD. De acuerdo a este informe de la CNIL, la empresa llevó a cabo prácticas de prospección comercial sin haber obtenido el debido consentimiento y sin informar a los interesados de la base legítima aplicable a la recogida de sus datos. Además, la empresa tampoco respondió en plazo a las quejas recibidas y no aplicó las correspondientes medidas de seguridad para proteger los datos. Como consecuencia, la organización no sólo infringió el RGPD, sino también el Código de Comunicaciones Postales y Electrónicas de Francia. La CNIL decidió imponer una multa y hacer la decisión pública.
EDF no pudo demostrar a la CNIL que había obtenido el consentimiento de los sujetos antes de llevar a cabo dichas prácticas.
EDF llevó a cabo una campaña de prospección comercial por medios electrónicos entre 2020 y 2021. Durante la investigación iniciada por la CNIL tras recibir numerosas quejas de interesados que informaron sobre sus dificultades para ejercer sus derechos, EDF proporcionó a la CNIL dos ejemplos de formularios estándar empleados en estos casos por parte de intermediarios. La CNIL identificó que las medidas establecidas por EDF para recoger consentimiento válido de los sujetos eran innecesarias. Asimismo, la empresa admitió que no verificaba los consentimientos obtenidos por estos medios ni realizaba auditorías a los intermediarios. Estas circunstancias derivaron en una vulneración del Artículo L. 34-5 del Código de Comunicaciones Postales y Electrónicas de Francia y el artículo 7 del RGPD.
La investigación reveló otras infracciones del RGPD por parte de EDF, lo cual incrementó la multa impuesta por la CNIL a la compañía.
Tras una investigación más detallada, la CNIL concluyó que la sección de protección de datos de la página web de la empresa no especificaba la base legítima para cada tratamiento de datos y que los plazos de retención no eran claros, lo cual suponía una brecha del artículo 13 del RGPD. Además, la compañía no respondió a determinadas quejas de los sujetos en el tiempo establecido por la normativa. Por otro lado, la CNIL descubrió que EDF proporcionaba información poco precisa sobre el origen de los datos recogidos y no tenía en cuenta el derecho de oposición a recibir comunicaciones comerciales, en conflicto con los Artículos 15 y 21 del RGPD. Los clientes también eran expuestos a riesgos al almacenar las contraseñas sin las suficientes medidas de seguridad, incumpliendo así con el Artículo 32 del RGPD. Todas estas infracciones se tuvieron en cuenta al determinar la multa aplicada.
