EDP sancionada
Una comercializadora energética es sancionada por no probar que dispone de un protocolo adecuado en protección de datos personales para la contratación telemática por representante.
La contratación telemática pone a la empresa en una delicada situación cuando carece de un protocolo para dar cumplimiento a la normativa de protección de datos personales. Este es el caso de la empresa energética EDP Comercializadora S.A.U. que ha sido sancionada por la Agencia Española de Protección de Datos Personales con 75.000 €. No probó que disponía de un protocolo adecuado a Derecho que le permitiera demostrar que efectivamente ostenta la representación que decía tener.
¿Cuándo es lícito el tratamiento de los datos personales?
En el presente caso, una tercera persona contrata por teléfono el suministro de gas en nombre de otra persona. Dice ser su representante y aporta el nombre, apellidos y DNI de su representado. Jurídicamente nos encontramos ante un supuesto de mandato entre el representante y el representado. El Código Civil, artículo 1278, regula el mandato otorgándole una gran flexibilidad en lo referente a las formas de celebrarlo, es decir, puede ser válidamente celebrado de forma verbal, sin necesidad de documento que lo constate. Pero éste no es el hecho importante, incluso podría ser falsa la representación que se dice ostentar y en ningún caso corresponde a la AEPD entrar a conocer sobre la validez de la representación.
Lo verdaderamente relevante para determinar la licitud del tratamiento de datos personales es lo indicado en el artículo 6.1 del RGPD. Es necesario que el interesado consienta el tratamiento de sus datos personales para uno o varios fines específicos, o como es el caso, para la ejecución de un contrato de gas.
Pero lo decisivo es si la empresa está en condiciones de demostrar la representación que dice el supuesto representante que ostenta. La responsabilidad proactiva del responsable de tratamiento (EDP Comercializadora) consiste en estar en disposición de probar que tiene un protocolo adecuado para demostrar la legitimación del tratamiento de datos personales que realiza.
¿Cómo evitar una sanción por responsabilidad proactiva?
La responsabilidad proactiva del responsable del tratamiento deriva del artículo 5.2 del RGPD y significa que el responsable ha de ser capaz de probar que cumple con todos los principios relativos al tratamiento de datos personales indicados en el apartado 1 del artículo 5. En nuestro caso con la licitud del tratamiento.
En tal sentido, ha de adaptar sus protocolos de contratación telemática a lo determinado sobre la licitud. Con especial atención a las contrataciones mediante representante. Deberá poder demostrar la realidad de la representación otorgada y la identidad del representado.
El protocolo debería imponer la obligatoriedad de verificar en dos pasos la representación otorgada y la identidad del representado. Por ejemplo: solicitando a quién dice ser representante un teléfono de contacto con el representado para constatar la realidad de la representación y su identidad.
La existencia e implantación de los protocolos de contratación telemáticos debió ser supervisada por el Delegado de Protección de Datos Personales. Nuestro despacho especializado hubiera aportado la solución al inicio del procedimiento sancionador. Consultar. Tlf 965 306 309.
En consecuencia, cabría decir que una ágil y especializada respuesta es la solución ante el riesgo de ser sancionado por la apertura de un procedimiento sancionador por parte de la AEPD.