//
you're reading...
Sanciones

Endesa Energía es sancionada por protección de datos por usar datos personales sin consentimiento para activar un contrato de suministro de energía.


Según informa la AEPD en su PS/00613/2011, Endesa Energía ha sido sancionada por usar sin consentimiento los datos personales y activar un contrato de suministro de energía, cuando en realidad el denunciante tenía el servicio con GAS NATURAL y se le ha impuesto una multa de 50.000€.

Endesa Energía aportó el contrato de suministro, así como las facturas de suministro por el consumo. Consta en su sistema informático la reclamación del denunciante por la disconformidad de la contratación el 27/04/2010; que no abrió ningún expediente por este supuesto; y que la contratación se realizó a través de un distribuidor, ESTRUCTURA DE VENTA DIRECTA SL, quién obtuvo los datos del denunciante mediante el sistema de visita domiciliaria de sus comerciales.

Quedando como hechos probados mas relevante los siguientes:

1.- El denunciante consta como cliente de Endesa Energía.

2.- Los datos del denunciante provienen de un formulario de “Solicitud de suministro” que fue cumplimentado por un agente comercial del distribuidor, en la que se puede constatar la existencia de una firma con el nombre completo del denunciante que no coincide con la firma del denunciante.

3.- En el posterior control de calidad, la grabación de la conversación para verificar la veracidad de la contratación deja en evidencia a Endesa: no consta el número al que se llama, ni el día, ni la hora, ni quien llama, ni quien atiende la llamada, y, desde luego, la voz no es identificable con el denunciante, ni el acento ni el tono.

4.- El denunciante comunicó su disconformidad con el contrato por teléfono a Endesa, indicando que no había firmado ningún contrato y los datos eran erróneos (teléfono y cuenta).

La LOPD establece: “Artículo 6. Consentimiento del afectado
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

Carece de consentimiento Endesa Energía SAU para tratar los datos personales –nombre apellidos DNI y domicilio- de la persona denunciante incorporándolos a su fichero de clientes, emitir contrato de suministro, después facturas y más tarde reclamarle los importes de esa facturas, y encargar su cobro a una entidad especializada. Todo ello sin haber obtenido el consentimiento del denunciante.
Para que el tratamiento de los datos de la persona denunciante resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Sin embargo, nunca hubo consentimiento para el tratamiento de sus datos. Tampoco concurre ninguno de los supuestos exentos de prestar tal consentimiento, de modo que se considera infringido el citado artículo 6.1 de la LOPD.

Endesa Energía SAU dice que los datos del denunciante habían sido proporcionados por la empresa de servicios que tenia contratada para la captación de clientes, que una vez recibidos encargo el control de la calidad de la misma a una tercera empresa que por medio de conversación telefónica grabada obtuvo de la persona denunciante la confirmación de contratación, el buen trato recibido por el comercial, la información escrita completa de la oferta ventajosa y la exactitud de todos los datos proporcionados.

La realidad que se obtiene de la apreciación conjunta de todos los documentos obrantes en el expediente es muy distinta. La verdad es que inmediatamente que tiene conocimiento del contrato que le envían para su firma se pone en contacto con Endesa para manifestar su desacuerdo con la contratación, que él no ha firmado ningún formulario de contratación del gas y mantenimiento. Los mismos empleados de atención de la compañía dicen que ante los documentos de identidad presentados con el escrito de reclamación del denunciante se deduce que no ha firmado el formulario de contratación y le envían la carta para tramitar la baja. No solamente no es la firma del denunciante la que figura en el formulario tampoco lo es el teléfono de contacto y el número de la cuenta bancaria para domiciliación de pagos.

La imputada no ha acreditado que obrara con diligencia suficiente para cumplir su propio procedimiento para tramitar nuevas altas por canales presenciales del gran público. En el texto aportado se han descrito una serie minuciosa de tareas a realizar sobre el material remitido por los captadores para dar el visto bueno a los contratos y las medidas de verificación y control a ejecutar, incluso por personal externo certificador.

La primera reclamación del denunciante a Endesa se produce por teléfono el 27/04/10 la siguiente, escrita, el 30/04/10 y le contestan que tras comprobaciones todo esta correcto, que no hay nada de lo que denuncia. En las grabaciones de los contactos con el cliente, aportados también con las alegaciones al acuerdo de inicio, queda constancia de que él no firmó los contratos –como se hace constar en el hecho 6, pero emitió posteriormente las dos facturas que dice haber anulado y devuelto el importe el 02/03/11.

Ha transcurrido casi un año desde que tuvo el conocimiento de la primera reclamación del denunciante y copia de su DNI. Muy poca diligencia para poner fin a la situación, como exige el apartado 5.b) del artículo 45 de la LOPD, si tenemos en cuenta que las facturas por el suministro se emitieron después de comprobar que no era su firma la de los contratos.

Estas razones ha llevado a que la AEPD imponga una multa de 50.000€ (cincuenta mil euros) a Endesa Energía SLU por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 45.2 y 4 de la citada Ley.

De este procedimiento será interesante extractar la lección que debemos recoger todos, en especial cuando uno cuenta con un departamento comercial, propio o externo:

1.- No basta con contar con un protocolo de calidad (que hay que tener); este debe ser creíble y para ello debe estar alerta para detectar posibles errores y/o fraudes en la contratación.

2.- Es un ejercicio sencillo y elemental el contrastar la firma de los documentos con la firma que aparece en el documento identificativo del cliente (p.e. su DNI, pasaporte, etc..).

3.- De sabio es rectificar: a la primera llamada del denunciante en el que este comunica a Endesa que no ha firmado ningún contrato deberían saltar todas las alarmas, no solo verificar electrónicamente las firmas en ese momento y darle la razón al cliente (parece que así se actuó); sino que que debe actuar con mas dinamismo, ya que se está evidenciando un error/fraude en el contrato. La acción de Endesa fue pasiva, se limitó a enviar a un documento de solicitud de baja… he aquí mi asombro; si la supuesta acción de captación fué presencial, si el denunciante no acudió a Endesa, ¿por qué es ahora el denunciante el que debe esperar a que le envíen el documento de baja y cumplimentarlo y reenviarlo? ¿por qué Endesa, en su departamento de calidad, no envió inmediatamente a un inspector o agente autorizado a verificar los hechos a casa del denunciante y proceder a anular unilateralmente el contrato que nunca debió activar?.

4.- ¡Cuidado con el equipo comercial de campo!. Aquí nos encontramos con otro de los elementos peligrosos: la captación de personal con baja cualificación en los departamentos de ventas; la falta de formación de estos equipos; la falta de concienciación sobre los pasos a dar en las visitas comerciales y en la contratación; la obligación de que los mismos realicen el primer check list de verificación de datos (¿no nos piden el DNI cuando pagamos con tarjeta de crédito? ¿qué impide que miremos y revisemos el DNI o documento identificativo a ver si realmente es la persona que tenemos enfrente?); y por último, la presión que las empresas realizan sobre su fuerza de ventas obligando a esta a cumplir objetivos, ha llevado a algunos comerciales a no prestar la debida diligencia en la acción comercial, ha llevado a otros a entregar contratos cerrados en aquellas situaciones en las que solo realizaron una “propuesta comercial personalizada” falsificando luego la firma, y, por último, y no menos grave, la avaricia de querer cobrar un incentivo o comisión extra por una visita que no se ha cerrado de forma positiva sino en un  “ya veremos” o “ya lo estudiaremos”.

Quizás me esté dejando atrás alguna otra lección, pero me ha parecido importante destacar estos aspetos.

Fuente: AEPD

Comentarios

2 comentarios en “Endesa Energía es sancionada por protección de datos por usar datos personales sin consentimiento para activar un contrato de suministro de energía.

  1. Esta pagina ha sido de gran ayuda. Gracias por compratirla por este medio.
    Ojala otras personas se beneficiaran tambien.

    Publicado por telefono endesa gas | 15/10/2012, 15:00
    • Muchas gracias por su comentario, ese es nuestro propósito con su edición, que la ciudadanía pueda tomar conciencia de la necesidad de proteger nuestros datos personales, de hacer valer nuestro derecho a la protección de datos y de asegurarnos de implementar medidas de seguridad suficientes cuando usamos las nuevas tecnologías.
      La Dirección.

      Publicado por ofiseg | 15/10/2012, 19:01

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Estadística del blog

  • 158.197 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: