Sanción de la AEPD a Endesa por exponer datos de más de 4,8 millones de clientes
El pasado 26 de enero se publicó en el Boletín Oficial del Estado la sanción de la AEPD a ENDESA por exponer datos de millones de clientes. La sanción impuesta alcanza una multa histórica de 6,1 millones de euros a la eléctrica española por no adoptar las medidas de seguridad necesarias para proteger la privacidad de sus clientes.
Sanción de la AEPD a Endesa: antecedentes y causas
Los antecedentes se remontan a junio de 2020, cuando ENDESA suscribe un contrato para comercializar sus productos y servicios a través de diferentes acciones comerciales con la Empresa XXX. A su vez, este proveedor subcontrata en marzo de 2021 a la Empresa YYY para la “actividad de intermediación en altas de clientes para ENDESA mediante la realización de llamadas telefónicas de captación comercial utilizando bases de datos de ENDESA”.
En agosto de 2021 se detectaron ciertos anuncios de Facebook anunciando “el alquiler de un sistema para obtener cups de energía y gas solo con la dirección del cliente”, cuyos usuarios resultaron ser trabajadores de la Empresa YYY. Al comprobar que se había llevado a cabo la venta no autorizada de bases de datos del CRM de ENDESA donde se vendieron las credenciales de acceso a la herramienta de clientes de energía y gas, se suspendió la campaña de venta y ENDESA aplicó las medidas pertinentes.
Sin embargo, se vuelve a detectar en febrero de 2022 más de 100 operaciones de venta afectadas por suplantación de identidad, al no coincidir los teléfonos y grabaciones de confirmación de venta con el cliente en sí contratado, por lo que ENDESA comenzó el Protocolo para gestionar la Brecha de Seguridad.
Investigación de la AEPD
Gracias a las investigaciones que realizaron tanto la AEPD como la Subdirección General de Inspección de Datos (SGID) se identificaron hasta septiembre de 2022 un total de 440 anuncios en la red social Facebook en los que se ofrecía el alquiler y/o venta de credenciales de acceso a la herramienta de ENDESA.
Asimismo, se determinó que el objetivo de la sustracción de datos que se llevó a cabo en la venta fraudulenta de datos era para la realización de llamadas comerciales mediante tareas de captación, asesoramiento y atención al cliente.
Concretamente, se determinó que el volumen aproximado de credenciales de clientes que se podía consultar era de 4,8 millones de clientes de electricidad y de 1,2 millones de clientes de gas. La práctica fraudulenta llevada a cabo por la Empresa YYY operaba de tres formas diferentes:
En primer lugar, para aquellos clientes con los que cerraban la venta de un producto y la formalizaban mediante respuesta a SMS, se pudo apreciar que el número de teléfono utilizado para enviar al cliente el SMS de confirmación de venta coincidía con otro número de teléfono utilizado con la misma finalidad para otro cliente, por lo que era posible que el cliente titular no hubiera aceptado el contrato.
En segundo lugar, contrataban servicios para clientes mediante los datos de acceso que tenían de la Plataforma de ENDESA y adjuntaban como prueba de contratación las grabaciones de llamadas de otros clientes.
Y, por último, para aquellos usuarios que querían contratar un servicio, pero no querían leer textos de contratos tan largos, simulaban las ventas y comprobación de contratación por SMS con otros clientes diferentes.
Estos usuarios que “contrataban” los servicios de ENDESA por la Empresa subcontratada YYY, tenían un usuario en el CRM de la Empresa XXX. En ese CRM se cargaban los datos necesarios para realizar la contratación por el cliente, la grabación de la llamada, los textos legales, el consentimiento del cliente a la oferta comercial y el contrato de los productos y servicios ofertados, y el certificado que se generaba con la confirmación de la venta por vía SMS.
Infracción y multa
Finalmente, la Directora de la AEPD publicó la Resolución del procedimiento sancionador a ENDESA por las infracciones de:
- El artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 de dicha norma, multa administrativa de cuantía 2.500.000,00 euros
- El artículo 32 del RGPD, tipificada en el artículo 83.4 de dicha norma, multa administrativa de cuantía 1.500.000,00 euros
- El artículo 33 del RGPD, tipificada en el artículo 83.4 de dicha norma, multa administrativa de cuantía 800.000,00 euros
- El artículo 34 del RGPD, tipificada en el artículo 83.4 de dicha norma, multa administrativa de cuantía 800.000,00 euros
- El artículo 44 del RGPD, tipificada en el artículo 83.5 de dicha norma, multa administrativa de cuantía 2.000.000,00 euros.
La AEPD ha alegado en el procedimiento sancionador que ENDESA no implementó las medidas de seguridad adecuadas desde el inicio de la violación de la seguridad de los datos personas para mitigar las consecuencias.
Argumenta que esto es debido a que no bloquearon los accesos de los usuarios comprometidos a las herramientas de ENDESA de forma diligente, o no tenían implementado un sistema de autenticación de usuarios multifactor, o un sistema que impidiera que un usuario pudiera tener varias sesiones iniciadas a la vez, ni desactivar o resetear de forma inmediata (sin tardar meses) los usuarios que contaran con la menor sospecha de estar comprometidos, ni contara con un sistema que permitiera la trazabilidad de la actividad realizada por los citados usuarios, entre otras medidas posibles.
En Letslaw somos abogados especialistas en derecho digital y ofrecemos asesoramiento en materia de protección de datos, no dudes en consultarnos.