Agencia Espanola Proteccion Datos (AEPD) har bötfällt Endesa Energía S.A.U. med 50 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att AEPD tagit emot ett klagomål från en registrerad som haft ett elleveransavtal med företaget EDP Comercial – Comercialização de Energia, S.A. (EDP). Enligt den registrerade har en okänd tredje part kontaktat EDP:s distributör, E-Redes Distribución Eléctrica (E-Redes), och olovligen begärt att den registrerades avtal skulle överföras till Endesa Energía. Den registrerade har vid upprepade tillfällen begärt information om identiteten på den tredje part som via telefon begärt att få överföra avtalet från EDP till Endesa Energía, utan framgång. Den registrerade har efter överföringen av avtalet därmed blivit tvungen att registrera sig på nytt hos EDP.
Det följer av principen om korrekthet enligt artikel 5.1 (d) GDPR att en personuppgiftsansvarig ska säkerställa att personuppgifter är korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
Efter en genomgång av ärendet konstaterade AEPD att överträdelsen i det aktuella fallet måste tillskrivas Endesa Energía istället för E-Redes. Endesa Energía har enligt AEPD, genom att koppla den allmänna koden för leveranspunkter, en alfanumerisk sekvens som är kopplad till el- eller gasförsörjningen i varje bostad, till adressen för en tredje part som bodde i samma byggnad men på en annan adress, vilket lett till att den registrerades avtal med EDP upphävdes, brutit mot principen om korrekthet enligt artikel 5.1 (d) GDPR. Mot denna bakgrund bötfälldes Endesa Energía med 50 000 euro.