La Agencia Española de Protección de Datos (AEPD) impone una multa de 40.000 euros a Iberdrola tras la denuncia de un cliente al haber permitido que una tercera persona cambiara su potencia contratada. La Agencia considera que esto supone una infracción grave al artículo 9.1 de la LOPD, ya que la compañía eléctrica no habría adoptado las medidas técnicas y organizativas que impidan el acceso no autorizado a los datos de sus clientes.
Un vecino de la provincia de Guipúzcoa descubrió que su compañía eléctrica, Iberdrola, le había rebajado la potencia contratada sin que él lo solicitara. Cuando llamó para interesarse, le comunicaron que la rebaja había sido tramitada a través del portal web, a pesar de que el titular del contrato nunca se había conectado a dicho portal.
La compañía restauró la potencia contratada y anuló los importes incorrectos facturados por la rebaja, pero no aclaró por qué se había producido esa rebaja ni quién había tenido acceso al portal web, por lo que el cliente remitió sendos escritos en un periodo de una semana solicitando una explicación “seria sobre los hechos ocurridos y claridad en el uso de los datos como usuario […] debido a la inseguridad que le provoca que alguien pueda tener sus datos personales”.
No sería hasta siete meses después cuando la compañía eléctrica identificó al usuario que había cursado la solicitud de rebaja de la potencia (y dos días después su restauración). Tras hacer las correspondientes averiguaciones, se señaló a la inquilina del vecino agraviado como la persona que había hecho los cambios. El titular del contrato decidió interponer una denuncia a la compañía eléctrica ante la Agencia Española de Protección de Datos (AEPD) por haber permitido que a través de su web se rebajara la potencia contratada en su domicilio sin su consentimiento.
Durante el proceso, Iberdrola no acreditó que la persona que “realizó el acceso a través de la web y llevó a cabo los cambios en el contrato del denunciante estuviera habilitada y autenticada para realizarlo” y le reprocha su falta de diligencia. Además, la compañía aportó como documentación que acredita la autenticación del denunciante un registro de sus ficheros informáticos en el que constan cuatro contratos suscritos por este, que sin embargo parecen corresponder a su inquilina.
Es por esto que la Agencia considera que el sistema de gestión de accesos a la zona de usuarios de la web de Iberdrola “no impidió de manera fidedigna que un tercero pudiera acceder a los datos personales de otro cliente”, debido a una serie de deficiencias que “han quedado acreditadas por la documentación aportada al expediente”.
La AEPD estima que se ha cometido una infracción grave del artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD) e impone una multa a la compañía eléctrica de 40.0001 euros. El artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.
En este caso, la Agencia entiende que la compañía eléctrica no adoptó medidas de seguridad de nivel básico destinadas a salvaguardar la confidencialidad y seguridad de los datos de carácter personal recabados por la entidad. De este modo, insta a la empresa a “adoptar de manera efectiva las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros”.