| Resolución | PS-00037-2020 |
| Firmado | 2021-04-29T00:00:00Z |
| Enlace | 📋 |
La resolución se centra en la actuación de EDP COMERCIALIZADORA, S.A.U. respecto a la contratación de servicios a través de terceros que actuaban como representantes de los titulares de los contratos, sin que se verificara debidamente la existencia de dicha representación. Se investigan diversas reclamaciones que denuncian el uso indebido de datos personales para la formalización de contratos de suministro energético, sin consentimiento válido del titular.
### Qué se investiga
Se analiza si la entidad verificó de forma adecuada que los terceros que contrataban servicios en nombre de otras personas contaban con la debida autorización o poder de representación. También se evalúa si la empresa proporcionó la información obligatoria en materia de protección de datos personales a los titulares reales de los contratos.
### Hechos probados
* La empresa utilizaba diversos canales de contratación: telefónico, web, distribuidores y fuerzas de venta externas. En todos ellos era posible que una persona contratara en nombre de otra, sin que existieran procedimientos sistemáticos para verificar la representación.
* No se exigía aportar documentos justificativos del poder de representación, y en muchos casos se aceptaba como suficiente la simple declaración del tercero.
* El consentimiento para finalidades comerciales y de marketing también era solicitado por el representante sin asegurar que el titular estuviera informado o que realmente hubiera consentido.
* La documentación aportada por la empresa para justificar el cumplimiento de la normativa no incluía análisis de riesgo adecuados ni procedimientos efectivos implantados antes del año 2021.
* No se garantizaba que los titulares hubieran recibido la información obligatoria conforme al artículo 13 del Reglamento General de Protección de Datos (RGPD).
### Artículos sancionados y por qué
* **Artículo 25 del RGPD (protección de datos desde el diseño y por defecto)**: La empresa no implantó medidas técnicas y organizativas adecuadas para garantizar que, por defecto, solo se trataran los datos necesarios para cada fin. En particular, no se aseguraba la licitud del tratamiento cuando el contrato lo firmaba un tercero. Esto constituyó una infracción grave y se impuso una multa de 500.000 euros.
* **Artículo 13 del RGPD (deber de información)**: No se facilitaba adecuadamente al titular del contrato la información básica sobre el tratamiento de sus datos, especialmente cuando la contratación se realizaba por medio de un representante. Esto se calificó como infracción leve, sancionada con 1.000.000 euros.
### Conclusión
La empresa fue sancionada por no implementar controles efectivos para verificar la representación de terceros en la contratación, lo que derivó en el tratamiento indebido de datos personales. También incumplió su deber de informar adecuadamente a los titulares, lo que afectó su capacidad de prestar un consentimiento informado. Estas deficiencias se sancionaron con un total de 1.500.000 euros.