La Agencia Española de Protección de Datos  sanciona a Iberdrola por enviar cartas a los clientes de dos comercializadoras, saltándose a estas últimas.

La Agencia Española de Protección de Datos sanciona a Iberdrola por enviar cartas a los clientes de dos comercializadoras, saltándose a estas últimas.

Analizamos esta sanción impuesta por la AEPD que resulta interesante para conocer la interpretación que la Agencia hace respecto a aquellas relaciones contractuales de mandato, es decir, qué derechos y obligaciones tiene el mandante y el mandatario y sobre todo el tercero que contrata con ellos en el ámbito de la protección de datos personales.

El pasado 1 de marzo de 2021, en su procedimiento sancionador PS/00197/2020, la AEPD impuso a I-De Redes Eléctricas Inteligentes, S.A.U. (“I-DE”) (anteriormente conocida como Iberdrola, S.A.) una multa de 200.000 euros por enviar cartas a los clientes de dos comercializadoras de energía eléctrica (los “Consumidores”).

Las dos entidades comercializadoras que presentaron las reclamaciones ante la AEPD contra I-DE son Watium, S.L. (“Watium”) (el 11 de marzo de 2019) y Energía y Servicios ABY 2018, S.L. (“ABY”) (el 8 de enero de 2020).

Los Consumidores firman un contrato de suministro eléctrico con las comercializadoras.

Las comercializadoras a su vez, firman con I-DE un contrato de acceso a la red para el suministro eléctrico de los consumidores. En este contrato, las comercializadoras actúan como mandatario y sustituto de los Consumidores (art. 3.2 y .3 del RD 1435/2002 de 27 de diciembre). El contrato lo firman, por una parte, la entidad comercializadora, y por otra, la entidad distribuidora (I-DE en este caso). El consumidor final no firma dicho contrato.

En base a estos contratos, los Consumidores deben pagar las tarifas de acceso a la red a las comercializadoras, y estas a su vez, deben pagar las tarifas a I-DE.

Hechos

Watium no pagaba de forma regular a I-DE las tarifas de acceso a la red. Según I-DE, en los ejercicios 2018 y 2019, la entidad tuvo que requerir a Watium el pago de las tarifas de acceso de miles de clientes 536 y 513 veces respectivamente. Como consecuencia de los impagos, I-DE inició el procedimiento de suspensión de suministro eléctrico de decenas de miles de consumidores.

En este contexto, I-DE decidió mandar cartas a los Consumidores para informarles que Watium no estaba cumplimiento con sus obligaciones contractuales por falta de pago, instándoles a ponerse “urgentemente en contacto con su empresa comercializadora para subsanar esta situación” si no querían quedarse sin electricidad.

Watium se percató en enero de 2018 del envío de las cartas, y la entidad denunció los hechos ante la Comisión Nacional de los Mercados y la Competencia (CNMC) y ante la AEPD.

Posteriormente, el 5 de septiembre de 2019, pese a las denuncias existentes ante la AEPD y la CNMC, I-DE envió a los clientes de la comercializadora ABY las mismas cartas que en su momento envió a los clientes de Watium.

Infracciones

La AEPD estima que I-DE cometió tres infracciones del RGPD (artículos 6.1, 5.1.b) y 5.1.c), las cuales comentamos a continuación:

Primera infracción: Base jurídica insuficiente para el tratamiento de datos (art. 6.1 del RGPD)

La base jurídica en la que I-DE amparó el envío de cartas a los Consumidores es “Por ser necesario para la ejecución de un contrato en el que el interesado es parte” (art. 6.1.b) del RGPD). Sin embargo, la AEPD no acepta esta base jurídica al considerar que las partes en el contrato de acceso a la red eléctrica eran I-DE y las respectivas comercializadoras, no los Consumidores.

Aquí es donde surge la principal discrepancia con I-DE, que considera que las entidades comercializadoras “no tienen la condición de parte, sino de mera representante”.

Según la AEPD: “el tratamiento de los datos personales de los consumidores que actúan a través de un mandatario no es necesario para el cumplimiento de dicho contrato, puesto que precisamente la existencia del mandatario hace que deban dirigirse a este las comunicaciones relativas al cumplimiento del contrato”.

Segunda infracción: Tratamiento de los datos para una finalidad incompatible (art. 5.1.b) del RGPD)

La AEPD interpreta que I-DE trató los datos personales de los Consumidores para una finalidad incompatible con el fin para el que fueron recogidos.

La finalidad para la cual se recabaron los datos personales de los Consumidores es la de suministrarles energía eléctrica al punto de suministro para el cual se contrató el acceso.

Tercera infracción: Incumplimiento del principio de minimización de datos (art. 5.1.c) del RGPD)

La AEPD es bastante breve al justificar esta infracción, limitándose a indicar que: “los datos personales deberán ser, en todo caso, limitados a la finalidad para la que fueron recabados. Finalidad establecida en los términos y condiciones pactadas en el contrato firmado”. Es por ello que “los datos personales tratados para el envío de las cartas citadas no son ni adecuados ni pertinentes, en relación con la finalidad y el ámbito para la que fueron recabados (principio de minimización de datos)”.