A Endesa le ha caído encima el Reglamento General de Protección de Datos (RGPD), pero no se resigna. Ante la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) por dejar que los datos de sus clientes quedaran al descubierto, la compañía que tiene como CEO a José Bogas defiende que su proceder ha sido impecable y deja claro que dará batalla: «A la pregunta de si recurriremos, la respuesta es sí», han declarado fuentes de Endesa a MERCA2.
En concreto, la energética tendrá que pagar una multa de 6.100.000 euros a la AEPD por permitir que una campaña ‘maliciosa’ a través de Facebook dejara expuestos los datos personales de, al menos, 760 personas de un total de los 6, 5 millones de clientes cuyos datos maneja la eléctrica.
Con esta multa la AEPD, que no hace comentarios sobre sus resoluciones, engordaría su presupuesto, el cual depende de las multas que recauda, cuyo sobrante no revierte en el Estado. Recientemente, el Tribunal de Cuentas ha señalado a la AEPD por su falta de transparencia a la hora de dar cuentas al Tesoro de las multas que recauda. La agencia recaba millones de euros que se queda para la gestión de sus actividades sin que reviertan en los ciudadanos ni mediante los Presupuestos Generales de Estado, ni mediante indemnización alguna por haber sido objeto de alguna brecha de datos, o por denunciar las mismas
RESOLUCIÓN DE LA AGENCIA
La multa a Endesa corresponde a una resolución tomada y publicada por la AEPD el pasado día 25 de octubre de 2023, pero que no se ha conocido hasta que se ha sido publicada en el BOE, según la norma por la cual las sanciones del regulador español que superen el millón de euros deben aparecer en el Boletín Oficial del Estado antes o después, pero sin un plazo concreto.
En el expediente EXP202204846 se recoge que Endesa había cometido un total de cinco infracciones de diferente índole que vulneran los artículos 5.1.f, 32, 33, 34 y 44 del RGPD. Se trata del Reglamento Europeo aprobado desde 2016, pero que entró en vigor en mayo de 2018, que regula de manera estricta la privacidad de los y las ciudadanas en la Unión Europea. Las infracciones encontradas por la AEPD son «graves», al no haber garantizado las protección de los datos de todos sus clientes, y al no haber informado «debidamente» a las 760 personas afectadas después de que se produjera la brecha de seguridad con la que vieron expuesta su información personal.
DATOS DE CLIENTES DE ENDESA A TRAVÉS DE FACEBOOK
Todo comenzó con la notificación por parte de Endesa el 10 de febrero de 2022 de que se había producido una violación de seguridad de los datos personales por un «posible acceso no autorizado a ciertos sistemas comerciales de Endesa Energía que podría haber afectado a unos mil clientes». Al parecer, en agosto de 2021 se detectan ciertos anuncios de Facebook que anuncian la venta
de credenciales para acceder a una plataforma de Endesa, que contiene datos básicos y relativos al punto de suministro. «Se valoró ese incidente y se adoptaron las medidas pertinentes», dice la resolución de la AEPD.
Sin embargo, el 17 de enero de 2022 se detecta otro anuncio de Facebook con características similares a los anteriores, que informa de la venta de bases de datos de clientes de energía y gas. Se hace una valoración del anuncio y no se encuentran coincidencias con datos de clientes de Endesa incluidos en el sistema CRM. El 8 de febrero de 2022 se detectan datos de, entre otros, algunos clientes de la energética incluidos en el sistema CRM. La AEPD señala que el número de personas sobre las que se recogen, almacenan y tratan datos personales en ese sistema y posiblemente afectadas por la brecha de seguridad alcanzan los 6.500.000.
Así, se determina que se ha viso afectada la confidencialidad de esos clientes porque los datos no estaban «cifrados de forma segura, anonimizados o protegidos de forma que son ininteligibles para quien haya podido tener acceso o no se puede identificar a las personas«. Los datos afectados son los básicos como nombre, apellidos, fecha de nacimiento, el DNI, NIE, Pasaporte y / o cualquier otro documento identificativo, los datos de medios de pago (Tarjeta bancaria, etc.), y los datos de contacto. En la comunicación que hace Endesa al regulador indica claramente que «las personas afectadas no serán informadas, porque no existe un riesgo alto para sus derechos y libertades».
el número de personas sobre las que se recogen, almacenan y tratan datos personales en ese sistema y posiblemente afectadas por la brecha de seguridad alcanzan los 6.500.000
La AEPD notifica a Endesa el 8 de marzo de 2022 una orden de comunicar el incidente en cuestión a los afectados en el plazo máximo de 30 días conforme al artículo 34 del RGPD. El 1 de abril de 2022 Endesa envía una comunicación a los 760 clientes que se habían visto afectados por la brecha de datos, advirtiéndoles que la empresa había actuado, «por lo que la confidencialidad y la integridad de sus datos no se ha visto afectada», aunque sabían perfectamente que los ciberdelincuentes se habían apropiado con intención de comercializar con ellos.
LAS CONSECUENCIAS
Según la resolución de la AEPD, «las consecuencias para los clientes afectados serían fundamentalmente la venta de sus datos para la realización de llamadas comerciales, así como para el envío de correos y SMS, ofreciendo la posibilidad de cambiar de compañía comercializadora de energía, lo que, en los peores escenarios y de llegar a materializarse, podría resultar en el cambio de empresa comercializadora sin su consentimiento».
Según la AEPD, «hay 137 operaciones de venta afectadas por contratación fraudulenta finalizada, otras 7 operaciones de venta pendientes de validación por parte de Endesa y 172 operaciones de venta que se bloquearon cuando estaban pendientes de validación por el back office» de una empresa tercera en la que dos trabajadores realizaron las acciones fraudulentas.
También se aclara que puede haber personas que se hayan visto afectadas por dos o más contrataciones fraudulentas, y que el perfil de personas afectadas es del de personas mayores de edad y hasta 65 años, residentes en España, clientes o potenciales clientes de Endesa. «El nivel de severidad de las consecuencias para las personas afectadas puede ser considerado como alto ya que podrían enfrentarse a cortes de suministro de energía, estrés y costes adicionales».
el perfil de personas afectadas es del de personas mayores de edad y hasta 65 años, residentes en España, clientes o potenciales clientes de Endesa
En definitiva, Endesa descubrió esta vulnerabilidad en agosto de 2021, relacionada con la publicación de claves de acceso en Facebook para su plataforma Sales Folder, pero no tomó las medidas adecuadas de inmediato ni notificó convenientemente. La multa impuesta de 6,1 millones de euros, además de no haber protegido debidamente esos datos, y de no haber advertido a los usuarios afectados, Endesa no habría cumplido con los requisitos que se exigen a la hora de realizar transferencias internacionales de los datos de sus clientes a los proveedores de países terceros.
En la resolución de la AEPD advierte que existe un claro agravante, al tratarse de infracciones que causaron daño y perjuicios a sus clientes, lo cual parece de suma dejadez al tratarse Endesa de «una empresa grande habituada al tratamiento de datos personales». La capitalización bursátil de la energética alcanza los 19.950 millones de euros.
ENDESA, COMO GATO PANZA ARRIBA
MERCA2 se puso en contacto con Endesa para conocer su versión de los hechos y su reacción a las medidas disciplinarias tomadas por Protección de Datos. La respuesta de la empresa ha sido cristalina: no han cometido infracción alguna, su actuación en defensa de los usuarios ha sido incuestionable y, lo más importante, tienen la intención de recurrir la multa.
«La respuesta es sí», aclaran las fuentes de la compañía consultadas por MERCA2 al ser interpeladas sobre sus planes de batallar contra la AEPD por esta decisión. «La AEPD expone razones que son del todo insuficientes para desestimar las alegaciones de Endesa y la cuantía de las sanciones impuestas es totalmente desproporcional en comparación a las propuestas en otros expedientes en los que existen una serie de hechos objetivos y comparables mucho más graves» -exponen- «Es decir, objetivamente, nunca ha sucedido algo así».
«Además, la actuación de Endesa en el marco de este expediente ha sido plenamente diligente y transparente desde el inicio, tal y como puede comprobarse, lo que deja patente la disparidad de criterios que la AEPD aplica a la hora de analizar las conductas de unas entidades frente a otras», continúan.
«Desde el momento en que conocimos la posible afectación de los datos personales de nuestros clientes, se adoptaron las oportunas medidas de seguridad, con lo que la confidencialidad y la integridad de sus datos no se vio comprometida»
Endesa
«Desde el mismo momento en que fuimos conocedores de la posible afectación de los datos personales de nuestros clientes […] se adoptaron las oportunas medidas de seguridad, técnicas y organizativas que mitigaron cualquier riesgo real para los interesados, con lo que la confidencialidad y la integridad de sus datos no se vio comprometida», sostienen las fuentes internas de Endesa. Asimismo, la compañía afirma que se realizó «un seguimiento personalizado de los afectados» para que, en cualquier caso, no experimentaran ningún perjuicio. Por otro lado, aclaran que el ataque afectó «a 760 clientes de Endesa Energía (Mercado Libre)».
Por último, las fuentes consultadas se escudan en la cada vez mayor incidencia de este tipo de ciberasaltos: «Desafortunadamente, los incidentes de seguridad son inherentes a la actividad en compañías y actividades altamente digitalizadas como la nuestra».
LA AEPD SE QUEDA EL DINERO DE LAS MULTAS
Recientemente el Tribunal de Cuentas ha señalado a la AEPD por su falta de transparencia a la hora de dar cuentas al Tesoro de las multas que recauda con sus resoluciones. La agencia recaba millones de euros que se queda para la gestión de sus actividades sin que reviertan en los ciudadanos ni mediante los Presupuestos Generales de Estado, ni mediante indemnización alguna por haber sido objeto de alguna brecha de datos, o por denunciar las mismas. El dinero de las multas se lo queda la institución de dirige Mar España Martí, que la dirige desde 2015.
MERCA2 se ha puesto en contacto con la AEPD en relación a al multa de Endesa y al destino del dinero, pero Agencia Española de Protección de Datos no ha respondido.
Nada más comenzar 2024, el Tribunal de Cuentas recordó a la AEPD que desde 2017 ha realizado recomendaciones para una mayor transparencia y gestión de su presupuesto, tanto a la Agencia como al la CNMC, al Banco de España y la CNMV, que ya transfieren el dinero de sus multas al Tesoro Público. Protección de Datos es la única de estas instituciones reguladoras independientes que sigue convirtiendo las multas en recursos propios.
que la AEPD no transfiera su dinero «sobrante» deriva en una falta de claridad presupuestaria, y «en saldos de tesorería muy importantes e improductivos que la AEPD poseía en entidades de crédito privadas, al tiempo que el Tesoro Público se estaba financiando a costes muy elevados
Según eldiario.es, la agencia acumula su dinero en dos cuentas bancarias. Una es la adjudicataria Caixabank, en la que mantienen una cantidad de cuatro millones de euros. Todo el dinero que ingresa que excede de esa cantidad, va a una cuenta del Banco de España, en la que en 2022 acumulaba 18,8 millones de euros desde que en 2020 Hacienda le pidiera para el Tesoro Público los 21 millones que ya almacenaba y que vinieron muy bien para los gastos de la pandemia.
FALTA DE CLARIDAD
Para el Tribunal de Cuentas, que la AEPD no transfiera su dinero «sobrante» deriva en una falta de claridad presupuestaria, y «en saldos de tesorería muy importantes e improductivos que la AEPD poseía en entidades de crédito privadas, al tiempo que el Tesoro Público se estaba financiando a costes muy elevados«, así como en el hecho de que la AEPD dedica «medios materiales y humanos a esta recaudación, en vez de al cumplimiento de sus funciones», cuando la recaudación la podrían efectuar otras instituciones públicas como, por ejemplo, Hacienda.
La AEPD se ha negado a seguir la recomendación del Tribunal de Cuentas y ha argumentado que «la opción de que la Entidad se financiara por medio de una transferencia de crédito de los Presupuestos Generales del Estado ha sido descartada al considerar que la alternativa actual es la más adecuada a la independencia funcional del ente, de acuerdo con su naturaleza como autoridad administrativa independiente». En su nuevo estatuto de 2021 se recoge claramente que se va a seguir financiando a través de las multas que cobra, pero deposita el sobrante de los cuatro millones en el Banco de España para ese dinero sea rentable para el Banco de España.
*Artículo realizado en colaboración con José Sánchez Mendoza
