EDP Comercializadora SAU y EDP Energy SAU fueron sancionados por la AEPD por cometer las mismas infracciones en materia de protección de datos.
Un millón y medio de euros fueron impuestos a dos empresas subsidiarias de EDP, EDP Comercializadora SAU y EDP Energía SAU. Ambas fueron sancionadas por la AEPD por cometer los mismos errores y por tanto, son dos resoluciones prácticamente idénticas, con la misma cuantía para ambas.
La sanción es de un millón de euros por una infracción de la obligación de transparencia del artículo 13 RGPD y medio millón de euros por un incumplimiento del artículo 25. Lo cual resulta innovador porque no hay muchas sanciones respecto de la implantación de medidas de privacidad desde el diseño y por defecto.
Sobre esto, la AEPD señaló que no deja de ser necesario que el responsable lleve a cabo un análisis de riesgo. A partir de este análisis, se deberán tomar las medidas técnicas y organizativas necesarias para determinar los medios del tratamiento antes y durante el mismo. Permitiendo garantizar el cumplimiento de los principios recogidos en el RGPD.
La obligación de privacidad del diseño y por defecto implica que desde el origen y durante el tratamiento se tengan en cuenta todas las obligaciones en materia de protección de datos.
Tratamiento de datos y representación
Así, y entrando en tema, la EDP ofrece distintos canales a través de los cuales se puede contratar servicios con ellos, inclusive por un tercero. Pero la AEPD encontró que, cuando se realizan tratamientos por representación, no se llega a pedir una acreditación de la representación. Por lo que existen riesgos como la suplantación de identidad, que se contrate un servicio que no se buscaba, etc.
Con respecto a este punto, EDP presentó ante la AEPD un análisis que, según la investigación de la AEPD, ni siquiera tiene en cuenta estos riesgos, y por supuesto, no los aborda.
Adicionalmente, respecto al consentimiento para hacer comunicaciones comerciales, y en el supuesto de la contratación por un representante, es a éste a quien se lo pide, sin que se acredite la capacidad del mismo para otorgarlo.
Para solventar todo esto, EPD comunicó que el pasado enero eliminaron los consentimientos en este caso. Sin embargo, la AEPD observó que no se especificaba la fecha a partir de la cual se habían cambiado la política. Tampoco qué se iba a hacer con los ya recabados. Ni se había incluido el análisis de riesgos que motivó este cambio de procedimiento.
Por todo ello, para la Agencia recién en enero de este año se han empezado a tomar medidas técnicas y organizativas para asegurar la privacidad de ese diseño. Y cuando, por defecto, se comenzó a cumplir los principios del Reglamento en torno a estos tratamientos.
A raíz de esto, EDP alegó que enviaron a la Agencia este procedimiento nuevo, pero que nunca recibió respuesta indicando si el procedimiento era correcto o no. Y al no haber recibido confirmación, no se atrevían a implementarlo. Ante esto, la AEPD señaló que a quien le corresponde esta valoración es al responsable, y, por tanto no tiene obligación alguna de pronunciarse.
EDP y la transparencia de la información
Sobre el incumplimiento de las obligaciones de transparencia del artículo 13 del Reglamento, EDP ofrecía un sistema de capas cuando se contrataba a través del canal telefónico. Este mecanismo está contemplado en el artículo 11 de nuestra LOPDGDD. Y permite que el responsable ofrezca al interesado una información básica de protección de datos que debe de contener los requisitos del artículo 11.2 de la LOPD. Pudiendo acceder inmediatamente a una segunda capa que contenga así la información integral en materia de protección de datos. Es decir, todas las obligaciones que recoge el artículo 13 del RGPD.
Pero el sistema implementado por EDP consistía en que el interesado recibiese diversas locuciones durante su contratación telefónica para informar sobre el tratamiento de sus datos personales.
No obstante, para la AEPD, estas locuciones no contenían todos los requisitos exigidos para que se dé por cumplido el deber de información. Ante esto, EDP alegaba que cuando el usuario llamaba por primera vez, se les reproducían todos los requisitos.
Pero esta práctica para la AEPD se considera insuficiente en tanto que se le ofrece al interesado una información fragmentada. Debiendo acudir a distintas locuciones para, al fin, tener cierto grado de comprensión sobre el tratamiento de sus datos personales. Y no resulta compatible con la capacidad de informar por capas.
Ante todo esto, EDP alegó que no se infringió el deber de información porque cuando el interesado firmaba se le ofrecían las condiciones generales de contratación. Y dentro de ellas toda la información integral exigida por el artículo 13 del Reglamento. Pero esta información era recibida después de haber contratado y, por lo tanto, después de tratar sus datos, no antes, como exige la norma.
Responsable del tratamiento y bases legitimadoras
La Agencia también analizó los contenidos de las locuciones y las condiciones generales de contratación y detectó diversas carencias. La primera, es que no se distingue de manera correcta al responsable del tratamiento.
No obstante, como indicó la AEPD al tratarse de dos empresas, en ocasiones es difícil entender cuál de ellas actúa como responsable del tratamiento. Pese a que EDP alegaba que el interesado sabía con quién contrataba.
De otro lado, en cuanto a las finalidades y bases legitimadoras, se ofrecían todas juntas sin señalar cuál correspondía a cuál. Dando lugar a confusiones sobre la relación contractual y el interés legítimo de EDP.
También se recogía información sobre el tratamiento de datos con fines comerciales y publicitarios y esta información para la AEPD no quedaba lo suficientemente clara. Pues una persona sin conocimientos en la materia lo iba a encontrar bastante difícil de leer.
Asimismo, se encontró una deficiencia para informar de los derechos porque aunque vienen incluidos dentro de las cláusulas informativas de EDP, no se informa a qué tratamientos puede oponerse.
En definitiva esta sanción analiza un poco que no basta con el cumplimiento literal del Reglamento, sino su carácter dinámico. Destacando así el valor de una verdadera adecuación al RGPD.