La sanción impuesta a una empresa energética (Enérgya-VM) pone fin a un procedimiento iniciado a raíz de una denuncia de la Policía por presuntos delitos relacionados con la gestión de datos de clientes captados por una empresa (Nivalco) subcontratada por la energética para la promoción de servicios.
La labor de captación y prospección comercial llevada a cabo por Nivalco era irregular, llevando a engaño a los clientes para conseguir la contratación de los servicios de Enérgya-VM, sin ser conscientes de ello. Enérgya-VM fue advertida de las irregularidades en el tratamiento de los datos personales que llevaba a cabo por Nivalco en su labor de captación de clientes, lo que le llevó a adoptar algunas medidas en forma de instrucciones y auditorías a su proveedor, si bien las irregularidades continuaron hasta que Enérgya-VM resolvió el contrato años más tarde.
Durante el procedimiento se discute el rol que jugaba Nivalco como fuerza de venta, puesto que la base de datos de potenciales clientes era suya, por lo que la empresa energética consideraba que el tratamiento de esos datos era responsabilidad de Nivalco. No obstante, la resolución establece que Enérgya-VM es responsable del tratamiento y que Nivalco realizaba el tratamiento de datos de carácter personal de clientes potenciales de Enérgya-VM por encargo de dicha empresa.
La AEPD entiende que se incumple el principio de responsabilidad proactiva regulado en el art.5.2 del RGPD, dado que la compañía energética no puso los controles adecuados respecto a su encargado de tratamiento de forma preventiva sino que actuó de forma reactiva.
Además, consideró que las contrataciones eran fraudulentas, lo que supone un incumplimiento del principio de licitud, lealtad y transparencia recogido en el art.5.1.a) del RGPD, en cuanto a la veracidad y legalidad de la obtención y el tratamiento de los datos.