| Resolución | PS-00177-2024 |
| Firmado | 2025-07-02T00:00:00Z |
| Enlace | 📋 |
Un cliente de GALP ENERGÍA INDEPENDIENTE, S.L. denunció que, al acceder a la aplicación móvil «Fusión Solar» para gestionar su instalación de paneles solares, pudo ver los datos personales de más de 1.000 clientes de Verne Telecom, S.L., empresa subcontratada por GALP ENERGÍA. Los datos accesibles incluían nombres, apellidos, direcciones y datos de consumo eléctrico.
La denuncia se originó porque un técnico instalador de Verne Telecom facilitó al cliente las credenciales de acceso generales de la empresa en lugar de crear un perfil específico para el cliente. Esto permitió al cliente acceder a información sensible de otros usuarios.
GALP ENERGÍA fue sancionada por no haber implementado medidas de seguridad adecuadas para prevenir el acceso no autorizado a los datos personales de sus clientes. La empresa argumentó que la responsabilidad recaía en el técnico instalador y en Verne Telecom, pero se determinó que, como responsable del tratamiento de datos, GALP ENERGÍA debía supervisar y garantizar la seguridad de los datos, incluso cuando se subcontratan servicios.
La sanción impuesta fue de 40.000 euros, aunque se redujo a 32.000 euros debido al pago voluntario realizado por GALP ENERGÍA antes de la resolución final. Además, se ordenó a la empresa que adoptara medidas adecuadas para garantizar la confidencialidad de los datos personales en un plazo de tres meses. La sanción se justificó por la gravedad de la infracción, el número de afectados y la necesidad de asegurar la protección de los datos personales en el futuro.