| Resolución | PS-00227-2024 |
| Firmado | 2026-02-06T00:00:00Z |
| Enlace | 📋 |
La decisión se refiere a un procedimiento sancionador iniciado contra ***EMPRESA.1, una empresa del sector eléctrico, por una reclamación presentada por un cliente. El cliente denunció haber recibido un contrato no solicitado que contenía sus datos personales y de suministro eléctrico, lo cual consideró una violación de su privacidad. La empresa alegó que el contrato fue enviado por error y que no había formalizado ninguna relación contractual con el reclamante.
El procedimiento se centró en la existencia de un contrato de encargo entre ***EMPRESA.1 y ***EMPRESA.2, que presentaba carencias desde la perspectiva de protección de datos. El contrato no cumplía con los requisitos mínimos exigidos por el artículo 28.3 del Reglamento General de Protección de Datos (RGPD), lo que afectaba a todos los tratamientos de datos realizados por ***EMPRESA.2 en nombre de ***EMPRESA.1.
Entre las deficiencias encontradas se incluyen la falta de especificación de la naturaleza de los tratamientos, la tipología de los datos objeto de tratamiento, la ausencia de desarrollo de las medidas de seguridad previstas en el artículo 32 del RGPD, y la indeterminación de previsiones relativas a la posibilidad de contar con un subencargado del tratamiento.
La empresa fue sancionada con una multa de 25.000 euros, que se redujo a 20.000 euros debido al pago voluntario realizado por ***EMPRESA.1. Este pago implicó la terminación del procedimiento, siempre y cuando la empresa renunciara a cualquier acción o recurso en vía administrativa. La resolución se hizo pública y se notificó a la empresa, que tiene la opción de interponer un recurso contencioso-administrativo ante la Audiencia Nacional.