Las empresas ligadas al sector de la energía tratan datos a gran escala y por eso la Agencia Española de Protección de Datos (AEPD) les está prestando una especial atención. Por este motivo, deben extremar las precauciones en materia de protección de datos y seguridad de la información.
4 de las sanciones más altas de la AEPD han sido para compañías energéticas
Desde la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD), el 25 de mayo de 2018, entre las sanciones con multas más elevadas impuestas por la AEPD se encuentran:
- Sanción por cargar en una cuenta bancaria un recibo de gas que no corresponde, revelando datos a un tercero
- Multa: 100.000 euros
- Infracción: Artículo 5.1.f) del RGPD (integridad y confidencialidad)
- Procedimiento: PS-00074-2019
- Sanción por tratar datos personales sin consentimiento del interesado, vinculados a un contrato de gas al que es ajeno
- Multa: 75.000 euros
- Infracción: Artículo 6.1 del RGPD (licitud del tratamiento)
- Procedimiento: PS-00025-2019
- Sanción por reclamación de impago de un contrato que el interesado no había suscrito, tratando sus datos personales sin legitimación
- Multa: 75.000 euros
- Infracción: Artículo 6.1 del RGPD (licitud del tratamiento)
- Procedimiento: PS-00109-2019
- Sanción por utilizar los datos de un antiguo cliente, sin su consentimiento, para realizar una contratación y alta fraudulenta
- Multa: 75.000 euros
- Infracción: Artículo 6.1.a) del RGPD (consentimiento del interesado) y artículo 6 LOPDGDD (tratamiento basado en el consentimiento del afectado)
- Procedimiento: PS-00140-2019
Los datos de consumo se consideran datos personales
El Tribunal Supremo (TS), en la Sentencia 1062/2019 de 12 de julio de 2019, ha llegado a la conclusión de que los datos sobre consumo energético permiten asociar los hábitos de consumo de una persona (y en consecuencia, saber las horas que se encuentra en casa, las horas que duerme o si está de vacaciones) y por ello deben ser considerados datos personales.
En concreto, el Tribunal Supremo con esta Sentencia desestima un recurso que había interpuesto Iberdrola, y establece que las Curvas de Carga Horaria (CCH) asociadas a un individuo deben ser consideradas datos de carácter personal. Se tratan de datos seudonimizados, y cuando un distribuidor eléctrico los envía junto a el Código Universal del Punto de Suministro (CUPS), permiten la identificación de consumo de una persona en concreto.
Por este motivo, se considera que sobre los datos de consumo le es aplicable la normativa de protección de datos. Y una distribuidora para su tratamiento y comunicación deberá contar con el consentimiento del interesado o aplicar alguna de las excepciones recogidas en el artículo 6 del RGPD para que el tratamiento sea considerado lícito.
La ley obliga a nombrar un delegado de protección de datos a las compañías energéticas
Ley 3/2018 de Protección de Datos Personales y garantía de los derechos digitales
El artículo 34.1,i) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), establece que deberán designar un delegado de protección de datos “Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural”.
Y para entender mejor en qué consisten los distribuidores y comercializadores vamos a ver lo que dicen la legislación específica de cada materia.
Ley 24/2013 del Sector Eléctrico
El artículo 6 de la Ley 24/2013, de 26 de diciembre, del Sector Eléctrico define los sujetos que desarrollan las actividades destinadas al suministro de energía eléctrica y establece las siguientes definiciones de “distribuidores” y “comercializadores”:
- Distribuidores: son aquellas sociedades mercantiles o sociedades cooperativas de consumidores y usuarios, que tienen la función de distribuir energía eléctrica, así como construir, mantener y operar las instalaciones de distribución destinadas a situar la energía en los puntos de consumo y todas aquellas funciones que se recogen en el artículo 40.
- Comercializadores: son aquellas sociedades mercantiles, o sociedades cooperativas de consumidores y usuarios, que, accediendo a las redes de transporte o distribución, adquieren energía para su venta a los consumidores, a otros sujetos del sistema o para realizar operaciones de intercambio internacional en los términos establecidos en la presente ley.
Ley 34/1998 del sector de hidrocarburos
El artículo 58 de la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos establece los sujetos que desarrollan las actividades destinadas al suministro de gas natural y define a los “distribuidores” y “comercializadores:
- Distribuidores: son aquellas sociedades mercantiles autorizadas para la construcción, operación y mantenimiento de instalaciones de distribución destinadas a situar el gas en los puntos de consumo. Los distribuidores también podrán construir, mantener y operar instalaciones de la red de transporte secundario, debiendo llevar en su contabilidad interna cuentas separadas de ambas actividades de conformidad con lo dispuesto en el artículo 63
- Comercializadores: son las sociedades mercantiles que, accediendo a las instalaciones de terceros en los términos establecidos en el presente Título, adquieren el gas natural para su venta a los consumidores, a otros comercializadores o para realizar tránsitos internacionales. Asimismo, son comercializadores las sociedades mercantiles que realicen la venta de Gas Natural Licuado (GNL) a otros comercializadores dentro del sistema gasista o a consumidores finales.
Por lo tanto, como conclusión, se entiende que aquellas compañías energéticas que estén identificadas en alguna de estas definiciones deberán nombrar un Delegado de Protección de Datos (DPD) de forma obligatoria, tal y como establece el artículo 34.1,i) de la LOPDGDD.
