| Resolución | PS-00190-2024 |
| Firmado | 2025-12-22T00:00:00Z |
| Enlace | 📋 |
Un cliente de CURENERGÍA recibió correos electrónicos destinados a otra persona, revelando datos personales sensibles como nombre, apellidos, dirección y número de contrato. El error se debió a que un empleado del canal de atención al cliente actualizó erróneamente la ficha de un cliente con el correo electrónico del reclamante mientras atendía simultáneamente a dos usuarios. CURENERGÍA reconoció el error y lo corrigió, pero no tenía procedimientos efectivos para evitar tales inexactitudes.
La sanción impuesta fue de 500.000 euros por vulnerar el principio de privacidad desde el diseño y por defecto, conforme al artículo 25 del RGPD. La empresa no había implementado medidas técnicas y organizativas adecuadas para garantizar la exactitud de los datos personales, lo que resultó en una infracción sistémica. La sanción se justificó por la gravedad de la infracción, el alto riesgo de comisión de errores y la falta de medidas correctivas efectivas.