Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 6 100 000 euro mot Endesa Energia S.A.U. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Endesa Energia i augusti 2021 uppmärksammades på att annonser som erbjöd åtkomstdata till en Endesa-databas lagts ut på Facebook till försäljning. Det var dock inte förrän i februari 2022 som det upptäcktes att kunduppgifter äventyrats varför Endesa Energia informerade AEPD. I sin anmälan till AEPD uppgav Endesa Energia att 1 000 personer påverkades av dataintrånget och att de inte informerats eftersom de inte var utsatta för någon hög risk. Endesa var dock medvetna om att bedrägliga tredje parter redan ingått avtal i de berörda personernas namn.
AEPD konstaterade att Endesa Energia underlåtit att genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter i syfte att förhindra sådana incidenter. Detta innebar enligt AEPD överträdelser av principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR och kravet på lämpliga tekniska och organisatoriska åtgärder vid behandling av personuppgifter enligt artikel 32 GDPR.
AEPD konstaterade vidare att Endesa Energia underlåtit att informera AEPD och de registrerade om personuppgiftsincidenten i rätt tid, vilket innebar en överträdelse av artiklarna 33 och 34 GDPR.
AEPD konstaterade dessutom att Endesa Energia inte genomfört lämpliga skyddsåtgärder för överföring av personuppgifter till länder som inte omfattas av ett beslut om adekvat skyddsnivå från EU-kommissionen. Enligt AEPD utgjorde detta en överträdelse av artikel 44 GDPR.