| Informe | 2025-0045 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Real Decreto de Suministro y Contratación de Energía Eléctrica
El informe jurídico de la Agencia Española de Protección de Datos (AEPD), identificado como 2025-0045, analiza el proyecto de Real Decreto por el que se aprueba el Reglamento General de Suministro y Contratación de Energía Eléctrica, destacando su objetivo de modernizar y armonizar el marco normativo del sector eléctrico en España. Entre sus principales metas se incluyen la protección del consumidor, la transparencia, la seguridad jurídica y la adaptación a los cambios tecnológicos y regulatorios, como la Directiva (UE) 2019/944, que promueve la participación activa de los consumidores en el mercado eléctrico y la integración de energías renovables.
Objeto y ámbito del Real Decreto
El nuevo reglamento busca sustituir un marco normativo obsoleto (como el Real Decreto 1955/2000), que ya no refleja la liberalización del mercado ni las actuales demandas de sostenibilidad. Su estructura se articula en cuatro capítulos que regulan:
Disposiciones generales (principios como transparencia, separación de actividades y participación del consumidor).
Suministro de energía (derechos y obligaciones de los consumidores, información contractual y garantías de continuidad).
Agregación de energía (definición del papel de los agregadores independientes y sus requisitos).
Contratación, facturación y reclamaciones (unificación de criterios para generar confianza en los usuarios).
El texto incluye ocho disposiciones adicionales, siete transitorias, una derogatoria y ocho finales, además de tres anexos con modelos de declaración responsable para consumidores, comercializadores y agregadores. Su implementación requerirá adaptaciones tecnológicas y procedimentales en los sistemas de información existentes.
Tratamiento de datos personales y cumplimiento del RGPD
El informe de la AEPD enfoca su atención en el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), dado que el Real Decreto implica la recogida, tratamiento y cesión de datos personales por parte de múltiples actores (comercializadores, distribuidores, agregadores independientes, Administraciones Públicas y organismos reguladores como la CNMC).
Principales preocupaciones de la AEPD
Base legal para el tratamiento de datos:
Las obligaciones impuestas a los agentes del sector (públicos y privados) se justifican bajo los artículos 6.1.c) y e) del RGPD, al considerarse necesarias para el cumplimiento de una obligación legal o una misión de interés público. Sin embargo, la AEPD recomienda explicitar esta fundamentación en el texto para evitar ambigüedades.
Determinación de responsables del tratamiento:
La AEPD identifica a los siguientes como responsables del tratamiento de datos:
Administración General del Estado (Ministerio para la Transición Ecológica).
Comunidades Autónomas en el ejercicio de sus competencias territoriales.
CNMC (como organismo supervisor).
Sujetos privados (empresas comercializadoras y distribuidoras), conforme a la Ley 24/2013 del Sector Eléctrico.
Datos especialmente sensibles:
El Sistema de Información de Puntos de Suministro (SIPS), regulado en el artículo 8, exige a las distribuidoras gestionar un conjunto de datos personales (nombre, dirección, consumo histórico, etc.), lo que requiere medidas reforzadas de seguridad para evitar brechas. La AEPD subraya la necesidad de aplicar los principios de minimización, limitación de la finalidad y proporcionalidad (artículo 5 del RGPD).
Curva de carga y privacidad del consumidor:
El artículo 17 (y su equivalente en el artículo 24 para agregadores) regula el intercambio de información entre comercializadores y distribuidores, incluyendo datos de consumo detallados («curva de carga») que pueden revelar hábitos personales. La AEPD insiste en que estos datos deben tratarse con máximo cuidado, garantizando su confidencialidad y uso exclusivo para fines relacionados con el suministro eléctrico. Además, se recomienda introducir un artículo específico que establezca las medidas de seguridad técnicas y organizativas requeridas por el artículo 32 del RGPD (protección contra accesos no autorizados, pérdida o destrucción de datos).
Consentimiento y portabilidad de datos:
El artículo 13 (obligaciones de los comercializadores) menciona la LOPDGDD pero omite el RGPD. La AEPD propone modificar el texto para incluir explícitamente el cumplimiento de ambas normas, reforzando la necesidad de consentimiento libre, informado y revocable (artículo 6 LOPDGDD).
Los procesos de cambio de comercializador o agregador, regulados en los artículos 19 y 26, deben garantizar el derecho a la portabilidad (artículo 20 RGPD), es decir, la transferencia segura de los datos del consumidor sin obstáculos.
Protección en instalaciones inteligentes:
El artículo 54 (medidas de protección al consumidor) establece que la instalación de equipos de medida con lectura remota debe respetar la normativa de protección de datos. La AEPD valora que esto se alinee con el principio de «privacidad desde el diseño» (artículo 25 RGPD), pero recomienda mayor claridad en la redacción para evitar riesgos de intrusión en la privacidad.
Recomendaciones de la AEPD
Para garantizar el pleno cumplimiento del RGPD y la LOPDGDD, la AEPD propone:
Modificar el artículo 6 para incluir una referencia explícita al RGPD, no solo a la LOPDGDD, al tratar el derecho a la protección de datos.
Ajustar los artículos 13 y 17 (y sus equivalentes en otros capítulos, como el 24) para que mencionen expresamente el RGPD y no solo la LOPDGDD.
Introducir un nuevo artículo o apartado dedicado a las medidas de seguridad del artículo 32 del RGPD, garantizando que los responsables apliquen las salvaguardas técnicas y organizativas adecuadas (encriptación, control de accesos, auditorías, etc.).
Reforzar las garantías en la cesión de datos, especialmente en procesos como el cambio de comercializador o la acceso de terceros a la red (artículo 34), asegurando que el consentimiento sea específico, informado y verificable.
Conclusiones
Aunque el proyecto de Real Decreto reconoce y promueve el derecho a la protección de datos en múltiples artículos, la AEPD considera insuficiente la referencia general a la normativa de protección de datos. Para evitar incumplimientos, exige:
Mayor precisión en la base legal de los tratamientos.
Rigurosa aplicación de los principios del RGPD (licitud, transparencia, proporcionalidad).
Garantías técnicas y organizativas en la gestión de datos sensibles, como la curva de carga.
Claridad en las obligaciones de todos los actores involucrados (Administraciones, empresas y consumidores).
En definitiva, el informe subraya que la protección de datos debe ser un eje transversal en la aplicación del nuevo Reglamento, no solo un requisito formal, para asegurar confianza y seguridad jurídica en el mercado eléctrico. Las modificaciones sugeridas buscan alinear el texto con el RGPD y la LOPDGDD, protegiendo los derechos de los ciudadanos en un contexto de digitalización y sostenibilidad energética.