| Resolución | PS-00461-2024 |
| Firmado | 2025-07-04T00:00:00Z |
| Enlace | 📋 |
El 20 de septiembre de 2023, un cliente realizó una llamada a CURENERGÍA para solicitar un contrato de suministro eléctrico bajo la tarifa regulada conocida como Precio Voluntario al Pequeño Consumidor (PVPC). Durante la llamada, proporcionó todos los datos personales y de contacto requeridos. Sin embargo, antes de finalizar la llamada, recibió un correo electrónico de IBERDROLA con un contrato de suministro eléctrico del mercado libre por un precio superior, a pesar de que había solicitado un contrato con CURENERGÍA. El contrato de IBERDROLA incluía todos los datos personales que el cliente había proporcionado a CURENERGÍA.
El cliente denunció este incidente, alegando que sus datos personales habían sido tratados de manera incorrecta y que había recibido una oferta de contrato no solicitada. La empresa CURENERGÍA reconoció que se había producido un error puntual e involuntario debido a la confusión entre las dos entidades a las que prestaba servicios el operador que atendió al reclamante.
La empresa fue sancionada con una multa de 6.000 euros debido a la vulneración del principio de limitación de la finalidad, establecido en el artículo 5.1 b) del Reglamento General de Protección de Datos (RGPD). Este principio establece que los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no deben ser tratados ulteriormente de manera incompatible con dichos fines. En este caso, los datos personales del cliente fueron tratados para un fin distinto e incompatible con el inicialmente declarado, lo que constituyó una infracción.
Además de la sanción económica, se ordenó a CURENERGÍA que adoptara medidas para evitar que se repitiera este tipo de error en el futuro, especialmente en lo que respecta a la comunicación de datos personales a terceros no autorizados. La empresa tuvo un plazo de seis meses para notificar la adopción de estas medidas.