Enérgya-VM es multada por la AEPD en el Procedimiento EXP202304117
La compañía energética Enérgya-VM ha sido sancionada por la AEPD en el Procedimiento EXP202304117 por incumplimiento del principio de responsabilidad proactiva (artículo 5.2 del RGPD) e incumplimiento del principio de licitud, lealtad y transparencia (artículo 5.1.a) del RGPD)
Enérgya-VM había contratado los servicios de Nivalco consistentes en realizar labores de prospección comercial. Si bien, la labor de captación de clientes por parte de Nivalco era irregular llegando a engaño a clientes para conseguir la contratación de servicios de Enérgya-VM sin ser conscientes de ello. Concretamente Nivalco captaba clientes utilizando datos extraídos ilegalmente de Naturgy (incumplimiento del artículo 5.1.a) del RGPD). Enérgya-VM fue advertida de las irregularidades en el tratamiento de los datos personales que llevaba a cabo por Nivalco en su labor de captación de clientes, lo que le llevó a adoptar algunas medidas en forma de instrucciones y auditorías a su proveedor, si bien las irregularidades continuaron. En este aspecto la AEPD considera determinante que Enérgya-VM no ha establecido controles adecuados y efectivos respecto a su encargado de tratamiento:
1) no realizo ningún análisis de riesgos relativo a dicho encargado del tratamiento.
2) no llevó a cabo un control adecuado de la procedencia de los datos de carácter personal.
3)no estableció un control continuado y exhaustivo de las grabaciones de voz del proceso de contratación que le aportaba dicho proveedor.
4)no articuló un mecanismo de control eficaz sobre la actuación de su encargado de tratamiento a pesar de tener evidencias de que no seguía sus instrucciones.
5) tuvo una actitud más reactiva que proactiva.
No sólo es importante articular el contrato de encargado de tratamiento conforme a lo dispuesto en el RGPD sino que se deben adoptar medidas para garantizar que se elige únicamente al encargado que ofrece garantías suficientes en materia de protección de datos por ejemplo a través del correspondiente procedimiento de homologación de proveedores y su posterior análisis de riesgos periódico. En resumen caso de incumplimiento de RGPD, como ejemplo real, Enérgya-VM sancionada por AEPD.
