| Resolución | PS-00002-2023 |
| Firmado | 2023-10-25T00:00:00Z |
| Enlace | 📋 |
**Resumen de la resolución de la AEPD – Expediente PS/00002/2023 (Endesa Energía, S.A.U.)**
La Agencia Española de Protección de Datos (AEPD) investigó a Endesa Energía, S.A.U. por una brecha de seguridad que permitió el acceso indebido a datos personales mediante el uso fraudulento de credenciales de acceso a herramientas internas de la empresa, que llegaron a ser ofertadas en anuncios en Facebook.
El incidente se originó en agosto de 2021, pero no fue notificado a la AEPD hasta febrero de 2022. Afectó a unos mil clientes directamente, aunque el acceso potencial a datos comprometidos alcanzaba millones de registros. La brecha estuvo relacionada con prácticas irregulares de empleados de una empresa subcontratada, que explotaron accesos otorgados por Endesa a plataformas comerciales internas.
La AEPD concluyó que Endesa incurrió en las siguientes infracciones del Reglamento General de Protección de Datos (RGPD):
1. **Artículo 5.1.f)** – No se garantizó la integridad y confidencialidad de los datos personales.
2. **Artículo 32** – Falta de medidas de seguridad adecuadas y retraso en aplicar mejoras una vez detectada la brecha.
3. **Artículo 33** – Notificación tardía de la violación a la AEPD.
4. **Artículo 34** – Comunicación insuficiente y tardía a los afectados.
5. **Artículo 44** – Incorrecta actuación en la gestión de transferencias internacionales al no contactar con la entidad competente (Facebook Ireland) para la retirada de anuncios.
Como resultado, la AEPD impuso varias sanciones a Endesa y le ordenó adoptar medidas para prevenir futuras brechas similares.