Multa de 150 mil euros por seguridad deficiente

Multa de 150 mil euros por seguridad deficiente

La AEPD ha multado con 150.000 euros a una empresa suministradora de energía eléctrica (BASER COMERCIALIZADORA DE REFERENCIA, S.A.) por no contar con un protocolo de seguridad eficaz para realizar cambios en la contratación de los servicios, incumpliendo por consiguiente la Normativa de Protección de Datos.

En este caso concreto, se produjo un cambio en la potencia contratada a solicitud de un tercero, el cual no tenía autorización del titular del servicio, para hacer ese cambio.

¿Cómo se pudo cambiar el servicio sin consentimiento del titular?

El cambio en el servicio se realizó de manera exitosa gracias a que quién solicitó el cambio era la hermana del titular del servicio, y tenía conocimiento de ciertos datos personales del titular de manera natural, como es el nombre completo, DNI, teléfono y dirección del suministro.

Asimismo, la empresa suministradora del servicio de electricidad no aplicó un protocolo de seguridad eficiente, que permita verificar que el solicitante era realmente el titular del servicio.

Consideraciones de la AEPD

A pesar de que la empresa suministradora del servicio de electricidad sostuvo el hecho de que aplicó sus medidas de seguridad, solicitando varios datos como el nombre del titular, DNI, número de teléfono y domicilio, la AEPD consideró que la empresa debió utilizar otros métodos de verificación que corroboraran de forma fehaciente la identidad del titular del servicio.

Por tanto, la sanción de 150.000 euros se basa en el incumplimiento de dos artículos del RGPD:

Artículo 6: No contar con el consentimiento del titular para realizar el cambio en el servicio.

Artículo 32: No contar con un protocolo de seguridad eficiente y adecuado al tratamiento.

Recomendaciones para no ser sancionados

Cualquier empresa en general y las de comercialización de energía en particular, debe diseñar las medidas de seguridad técnicas y organizativas necesarias para dar cumplimiento al RGPD y LOPD, que pasaría por:

Delegado de protección de datos (DPD)

Designar un Delegado de Protección de Datos con carácter obligatorio ante el Registro de la AEPD, en cumplimiento del artículo 34.1 i) LOPDGDD.

Diseño de las Políticas de Seguridad

Con el asesoramiento del DPD, se elaborarán unas Políticas de Seguridad aprobadas por el órgano máximo de Administración y Dirección, en la cual entre otras muchas cuestiones, se incluiría la Política de Autenticación de Clientes

Formación

Formar obligatoriamente al personal sobre las políticas aprobadas en particular y sobre protección de datos en general.

Business Adapter® a tu servicio

Si eres cliente y no estás seguro de aplicar correctamente las medidas de Autenticación de Clientes y quieres contactar con tu delegado de protección de datos o aún no eres cliente de Business Adapter® y quieres que te contactemos para darte el asesoramiento necesario, llama al 96 131 88 04, escribe al email info@businessadapter.es, o deja tu mensaje en este formulario:



error: Content is protected !!