| Resolución | PS-00304-2018 |
| Firmado | 2018-09-27T00:00:00Z |
| Enlace | 📋 |
En el procedimiento sancionador PS/00304/2018, se denunció que un cliente de IBERDROLA CLIENTES, SAU, descubrió que, tras darse de alta en el portal web de la empresa, ya había un contrato en vigor y con consumo registrado a su nombre, pero con el DNI de otra persona. Además, el denunciante pudo acceder a todos los datos personales del titular del contrato. Este incidente se repitió, ya que en 2012 el denunciante ya había recibido una notificación similar, pero rechazó enviar un escrito para demostrar su identidad.
IBERDROLA explicó que el error se debió a una equivocación al introducir el DNI durante el proceso de alta, lo que permitió el acceso puntual a los datos de otro cliente. La empresa aseguró haber solucionado el problema y haber implementado sistemas adicionales de control para evitar futuras incidencias.
La decisión concluyó que IBERDROLA vulneró el principio de seguridad de los datos personales al no adoptar las medidas técnicas y organizativas necesarias para evitar el acceso no autorizado. Además, se incumplió el principio de calidad de los datos, ya que los datos personales del denunciante se asociaron incorrectamente con los de otro cliente.
Por estas razones, se impuso una sanción de 40.001 euros a IBERDROLA CLIENTES, SAU, por la infracción del artículo 9.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave. La sanción se justificó debido a la falta de diligencia de la empresa en la implementación de medidas de seguridad adecuadas y en la gestión correcta de los datos personales de sus clientes.