| Resolución | PS-00153-2018 |
| Firmado | 2018-10-03T00:00:00Z |
| Enlace | 📋 |
En el procedimiento sancionador PS/00153/2018, se denunció a IBERDROLA CLIENTES, SAU por una vulneración de seguridad en sus sistemas. El denunciante, A.A.A., afirmó que alguien había accedido a su cuenta en la web de la empresa y había modificado la potencia contratada de su suministro eléctrico sin su consentimiento. A.A.A. nunca había accedido a la web para realizar dicha modificación.
El denunciante solicitó en varias ocasiones a IBERDROLA que le restituyeran la potencia anterior y que le proporcionaran una explicación sobre cómo había ocurrido el incidente. La empresa inicialmente reconoció el error y restituyó la potencia, pero no ofreció una explicación clara sobre cómo se había producido el acceso no autorizado. Posteriormente, IBERDROLA informó que la modificación había sido realizada por una persona identificada como C.C.C., quien resultó ser la inquilina del denunciante.
La investigación reveló que IBERDROLA no había implementado medidas de seguridad adecuadas para evitar el acceso no autorizado a los datos personales de sus clientes. Esto permitió que un tercero, en este caso la inquilina del denunciante, pudiera modificar la potencia contratada sin la debida autorización.
La entidad fue sancionada con una multa de 40.001 euros por incumplir el principio de seguridad de los datos personales, establecido en el artículo 9.1 de la Ley Orgánica de Protección de Datos. La sanción se justificó debido a la falta de diligencia de IBERDROLA en la protección de los datos de sus clientes y la vulneración de las medidas de seguridad necesarias para evitar accesos no autorizados.