Sanción a Endesa por la revelación de datos a un tercero
Vadillo Asesores es la empresa líder en soluciones legales, de seguros y microconsultoría del País Vasco. Vadillo Asesores es uno de los patrocinadores de la Asociación de profesionales para la Competitividad del Mecanizado (ASPROMEC).
Las empresas y organizaciones deben tomarse la protección de datos muy en serio y esto es cada vez más evidente. Tanto pequeñas empresas y pymes como grandes corporaciones (como la propia ENDESA) pueden ser sancionadas… y, de hecho, lo están siendo. En ocasiones, por errores, despistes o falta de formación de las personas que trabajan en esas empresas. El último caso relevante lo ha protagonizado el gigante energético.
Y es que ENDESA ha sido sancionada por una revelación de datos a un tercero, debido a que cargó en la cuenta bancaria de la reclamante un recibo de gas correspondiente a otra persona.
Un error humano, en el origen de la sanción por infracción del RGPD
La incidencia se produjo por un fallo del agente actuante cuando un individuo llamó a la compañía para efectuar un cambio en su contrato de empresa. El agente eliminó por error lo datos, y los relleno con los datos de una tercera que figuraba como apoderada. Resulta, además, que el individuo tenía una orden de alejamiento, y había sido condenado por un delito de coacciones en el orden familiar, contra la reclamante a la que se le había cargado el recibo.
Ante la reclamación presentada en la Agencia Española de Protección de Datos, ENDESA procedió a ofrecer a la denunciante una compensación, reforzar las medidas dirigidas a verificar la identidad y autorización de las personas que realizan gestiones por cuenta de la empresa, reforzar la formación de los teleoperadores para evitar errores humanos e introducir mecanismos que validen a posteriori los cambios registrados.
En conclusión, se trata de una infracción de los art. 5 del RGPD sobre los principios relativos al tratamiento (integridad y confidencialidad), y del art. 5 de la LOPDGDD, sobre el Deber de confidencialidad.
El procedimiento terminó con el acuerdo entre la AEPD, y el pago voluntario por parte de la compañía de 80.000 euros, en atención a lo establecido en el art.83 RGPD. La Agencia valoró el perjuicio causado a la reclamante, con especial consideración a la situación personal, que la entidad ha adoptada medidas de prevención, y que pese a ser una falta de diligencia grave no se aprecia dolo.
¿Cómo pueden evitar las empresas y organizaciones situaciones como ésta?
Se evidencia de nuevo la importancia de contar con protocolos y medidas de seguridad suficientes dentro de la empresa. Y no sólo eso: es vital también formar de manera adecuada a toda la plantilla para evitar estos errores humanos.
En Vadillo Asesores cuentan con expertos en asesoramiento sobre privacidad de datos e implantación de protocolos de seguridad de la información; consúltelos.
