La Agencia Española de Protección de Datos (AEPD) multa a Iberdrola por enviar cartas a los clientes de dos comercializadoras
El pasado 1 de marzo de 2021, en su procedimiento sancionador PS/00197/2020, la AEPD impuso a I-De Redes Eléctricas Inteligentes, S.A.U. (“I-DE”) (anteriormente conocida como Iberdrola, S.A.) una multa de 200.000 euros por enviar cartas a los clientes de dos comercializadoras de energía eléctrica (los “Consumidores”).
Las dos entidades comercializadoras que presentaron las reclamaciones ante la AEPD contra I-DE son Watium, S.L. (“Watium”) (el 11 de marzo de 2019) y Energía y Servicios ABY 2018, S.L. (“ABY”) (el 8 de enero de 2020).
Para entender mejor la sanción y los hechos, resulta primero necesario entender la relación contractual entre I-DE, las comercializadoras y los Consumidores.
Los Consumidores firman un contrato de suministro eléctrico con las comercializadoras.
Las comercializadoras a su vez, firman con I-DE un contrato de acceso a la red para el suministro eléctrico de los consumidores. En este contrato, las comercializadoras actúan como mandatario y sustituto de los Consumidores (art. 3.2 y .3 del RD 1435/2002 de 27 de diciembre). El contrato lo firman, por una parte, la entidad comercializadora, y por otra, la entidad distribuidora (I-DE en este caso). El consumidor final no firma dicho contrato.
En base a estos contratos, los Consumidores deben pagar las tarifas de acceso a la red a las comercializadoras, y estas a su vez, deben pagar las tarifas a I-DE.
Hechos
Watium no pagaba de forma regular a I-DE las tarifas de acceso a la red. Según I-DE, en los ejercicios 2018 y 2019, la entidad tuvo que requerir a Watium el pago de las tarifas de acceso de miles de clientes 536 y 513 veces respectivamente. Como consecuencia de los impagos, I-DE inició el procedimiento de suspensión de suministro eléctrico de decenas de miles de consumidores.
En este contexto, I-DE decidió mandar cartas a los Consumidores para informarles que Watium no estaba cumplimiento con sus obligaciones contractuales por falta de pago, instándoles a ponerse “urgentemente en contacto con su empresa comercializadora para subsanar esta situación” si no querían quedarse sin electricidad.
Watium se percató en enero de 2018 del envío de las cartas, y la entidad denunció los hechos ante la Comisión Nacional de los Mercados y la Competencia (CNMC) y ante la AEPD.
Posteriormente, el 5 de septiembre de 2019, pese a las denuncias existentes ante la AEPD y la CNMC, I-DE envió a los clientes de la comercializadora ABY las mismas cartas que en su momento envió a los clientes de Watium.
Infracciones
La AEPD estima que I-DE cometió tres infracciones del RGPD (artículos 6.1, 5.1.b) y 5.1.c), las cuales comentamos a continuación:
Primera infracción: Base jurídica insuficiente para el tratamiento de datos (art. 6.1 del RGPD)
La base jurídica en la que I-DE amparó el envío de cartas a los Consumidores es “Por ser necesario para la ejecución de un contrato en el que el interesado es parte” (art. 6.1.b) del RGPD). Sin embargo, la AEPD no acepta esta base jurídica al considerar que las partes en el contrato de acceso a la red eléctrica eran I-DE y las respectivas comercializadoras, no los Consumidores.
Aquí es donde surge la principal discrepancia con I-DE, que considera que las entidades comercializadoras “no tienen la condición de parte, sino de mera representante”.
Según la AEPD: “el tratamiento de los datos personales de los consumidores que actúan a través de un mandatario no es necesario para el cumplimiento de dicho contrato, puesto que precisamente la existencia del mandatario hace que deban dirigirse a este las comunicaciones relativas al cumplimiento del contrato”.
La AEPD ampara esta argumentación en el artículo 3.3 del Real Decreto 1435/2002 que establece que: “En el caso en que el consumidor opte por contratar la energía y el acceso a las redes a través de un comercializador que actúa como sustituto del consumidor […] la posición del comercializador en el contrato de acceso suscrito con el distribuidor será a todos los efectos la del consumidor correspondiente”.
La AEPD finaliza su argumentación explicando que “En el artículo citado, no se contempla, por tanto, la actuación directa entre el distribuidor y el consumidor final, ya que éste ha nombrado un mandatario para su relación con aquel, no existiendo en ningún caso, una relación contractual directa entre el distribuidor y el consumidor final”.
En sus alegaciones, I-DE también busca ampararse en el interés legitimo (art. 6.1.f del RGPD) para legitimar el envío de las cartas: “Interés legítimo de la empresa distribuidora, obligada legalmente a realizar esta actividad recaudatoria y a soportar los riegos de impago, en recuperar unos importes que se ha visto obligada a ingresar para el sistema eléctrico a pesar de no haberlos cobrado”.
Sin embargo, la AEPD desecha esta justificación al estimar que I-DE no aporta “ningún fundamento jurídico que permitan sopesar, incluso mínimamente, la licitud del tratamiento de los datos de los consumidores finales, mediante el envío de las cartas a las que se refiere el presente procedimiento, adoleciendo de una absoluta falta de motivación, pues solamente se transcribe, en este punto el considerando 47 del RGPD para su defensa”.
Segunda infracción: Tratamiento de los datos para una finalidad incompatible (art. 5.1.b) del RGPD)
La AEPD interpreta que I-DE trató los datos personales de los Consumidores para una finalidad incompatible con el fin para el que fueron recogidos.
La finalidad para la cual se recabaron los datos personales de los Consumidores es la de suministrarles energía eléctrica al punto de suministro para el cual se contrató el acceso.
El artículo 3.2 del Real Decreto 1435/2002, de 27 de diciembre establece que los datos personales que la entidad comercializadora traspasa al distribuidor (I-DE en este caso) serán solamente utilizados para el suministro eléctrico al consumidor final.
Por todo lo anterior, la AEPD estima que el tratamiento de datos personales llevado a cabo por I-DE, al enviar cartas a los Consumidores informándoles de los presuntos incumplimientos contractuales de las entidades comercializadoras, no es compatible con la finalidad para la cual los datos personales fueron recabados.
Tercera infracción: Incumplimiento del principio de minimización de datos (art. 5.1.c) del RGPD)
La AEPD es bastante breve al justificar esta infracción, limitándose a indicar que: “los datos personales deberán ser, en todo caso, limitados a la finalidad para la que fueron recabados. Finalidad establecida en los términos y condiciones pactadas en el contrato firmado”. Es por ello que “los datos personales tratados para el envío de las cartas citadas no son ni adecuados ni pertinentes, en relación con la finalidad y el ámbito para la que fueron recabados (principio de minimización de datos)”.
Conclusión
El presente caso arroja luz sobre la interpretación que da la AEPD sobre el contrato de mandato (art. 1709 y ss. del CC) dentro del marco de tratamiento de datos personales.
Según este procedimiento, la base jurídica para el tratamiento de datos “por ser necesario para la ejecución de un contrato en el que el interesado es parte” no amparara el “saltarse” al mandatario y procesar directamente los datos personales del mandante.
En palabras de la AEPD: “el tratamiento de los datos personales de los consumidores que actúan a través de un mandatario no es necesario para el cumplimiento de dicho contrato, puesto que precisamente la existencia del mandatario hace que deban dirigirse a este las comunicaciones relativas al cumplimiento del contrato”.
Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.
______
Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.
Comentarios