La Agencia Española de Protección de Datos ha sancionado, con 24.000 euros, a una empresa suministradora de luz y gas por una infracción del art. 6.1 RGPD, ya que no se formalizó el contrato con un posible cliente y, por ello, no se tenía base legitimadora suficiente para el tratamiento de los datos del reclamante.
La AEPD, en la Resolución de Procedimiento Sancionador relativo al Expediente EXP202202898, PS-00286-2022, acordó iniciar un procedimiento sancionador el 9 de septiembre de 2022, por la presunta infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5 a) del RGPD a una empresa comercializadora de suministros de luz y gas.
De las actuaciones llevadas a cabo por la AEPD quedó probado que el 14 de febrero de 2022 entró en la Agencia Española de Protección de Datos un escrito de la parte reclamante en donde se exponía que se había llevado a cabo un cambio de la compañía de suministro de luz y gas sin su consentimiento.
La compañía reclamante reconoce, en su escrito de 18 de abril de 2022 y en las alegaciones al procedimiento sancionador del día 30 de septiembre de este mismo año, que en el momento de la firma del contrato se produjo un error lo que terminó provocando una contratación injustificada y, emisión de facturas que no correspondían.
También se constató que dicha empresa cuenta con un proceso de firma de contratos con dos pasos: “Un primer paso en que se informa de las condiciones del servicio por vía telefónica y que, en el caso de aceptar el cliente dichas condiciones por la misma vía, se le remite el contrato para su firma vía SMS.
Consta que pese a no haber firmado el contrato vía SMS la parte reclamante, éste figuró como formalizado en los sistemas de información de la parte reclamada.”
La Agencia, en el apartado de fundamentos de derecho, sostiene que el reclamante aceptó las condiciones pero no terminó el proceso de formalización, tal y como se expone en la presente reclamación, “el interesado aceptó las condiciones del servicio por vía telefónica y, pese a no haber firmado el contrato vía SMS, éste figuró como formalizado en los sistemas de información de SIE debido a un error de sincronización de dichos sistemas” fueron tratados sin base legitimadora y sin que constara en el contrato la firma de la parte reclamante, y que hubo una contratación fraudulenta.
Y, en las alegaciones al presente procedimiento del 30 de septiembre de 2022, manifiesta la parte reclamada que “Si bien en este caso concreto esta segunda aceptación no se realizó al no enviarse al interesado el SMS al que se debía responder con un “SÍ””.
De acuerdo con lo expresado, el tratamiento de datos requiere la existencia de una base legal que lo legitime, como el consentimiento del interesado prestado válidamente, y en este caso concreto no existe base legitimadora dado que el contrato no se formalizó.
Por todo lo mencionado anteriormente, la AEPD aprecia el agravante del art.83.2 RGPD “Que se trata de una empresa cuya actividad principal está vincula con el tratamiento de datos personales, conforme a lo establecido en el artículo 76.2.b) de la LOPDGDD. El desarrollo de la actividad empresarial que desempeña la reclamada requiere un tratamiento continuo de los datos personales de los clientes”. Imponiéndole a la empresa sanción por cuantía de 30.000 € por la infracción del art. 83.5 RGPD, reduciéndose un 20% al realizar la reclamada pago voluntario, por lo que finalmente fueron 24.000€.
La AEPD señala que, cuando el responsable del tratamiento de datos recabe datos de carácter personal, debe cumplir con la licitud del tratamiento (art.6.1.RGPD). Estableciéndose este artículo de la siguiente manera:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física.
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.»
En definitiva, aquellas empresas que no cumplan con el tratamiento de datos de forma lícita tal y como se dispone en el art. 6.1 del RGPD, deben saber que es altamente probable que la AEPD les sancione, si bien, pueden evitarlo contratando los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación de empresas privadas a la normativa de protección de datos.