Multa histórica a Endesa de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos ha sancionado a Endesa con 6,1 millones, la segunda multa más elevada en toda la trayectoria de la propia Agencia, por una brecha de seguridad que desprotegió los datos de sus clientes y en la que la propia AEPD calificó la conducta de la compañía eléctrica como «gravemente negligente» en su forma de actuar.

En 2021 y 2022 se detectaron varios anuncios en la red social Facebook donde se anunciaba la venta de bases de datos de clientes de energía y gas cuyo acceso se hacía a través de la plataforma de Endesa. Si bien la compañía asegura que esta brecha de seguridad habría afectado a los datos de unas 1.000 personas, la AEPD eleva hasta los 6,5 millones la cifra de los posibles clientes cuya información estuvo disponible para la consulta de terceros. Estos hechos son los que han motivado ahora la sanción de la Agencia Española de Protección de Datos, en una resolución que fue firmada el 29 de noviembre de 2023, pero que ha sido publicada este pasado viernes 26 de enero en el Boletín Oficial del Estado. En el escrito se detalla que Endesa cometió cinco infracciones que vulneran los artículos 5, 32, 33, 34 y 44 del Reglamento General de Protección de Datos.

En su resolución, la AEPD señala que Endesa fue “gravemente negligente” ya que “tardó meses en resetear o eliminar los usuarios comprometidos, lo que permitió que durante meses se pudiera acceder a los datos personales obrantes en los sistemas de Endesa y se dieran de alta usuarios de forma fraudulenta”.

Endesa impugnará la resolución

Endesa ha informado de que impugnará la resolución de la Agencia Española de Protección de Datos al considerar que se han ignorado sus alegaciones y pruebas presentadas durante el procedimiento administrativo. La compañía asegura que algunas de las conductas que se le imputan “carecen de fundamento”.