La Commission Nationale de l’Informatique et des Libertés (CNIL), la autoridad responsable de la protección de datos personales en Francia, anunció el 26 de noviembre una sanción contra EDF. El principal productor y suministrador de energía eléctrica de Francia está acusado de haber incumplido, en varias ocasiones, las obligaciones previstas en el Reglamento General de Protección de Datos (RGPD) y el Código Postal y de las Comunicaciones Electrónicas (CPCE). EDF debe pagar una multa de 600.000 euros.
Enfoques comerciales no consensuados
Entre los cargos contra EDF está el incumplimiento de la obligación de obtener el consentimiento de las personas recibir prospección comercial por vía electrónica, de conformidad con los artículos L. 34-5 del CPCE y 7 del RGPD. El gigante de la energía no logró manifestarse ante la CNIL que había obtenido la aprobación de los entrevistados durante su campaña de prospección comercial por medios electrónicos entre 2020 y 2021. Él mismo reconoció que no habia verificacion en los formularios de consentimiento.
La CNIL señala en su comunicado de prensa que “ durante los controles, [EDF] proporcionaron dos ejemplos de un formulario estándar de recopilación de datos de prospectos que un corredor de datos puso a su disposición, pero no pudo proporcionar la lista de socios destinatarios de datos ». La Comisión destaca que dicha lista debe ponerse a disposición de las personas al dar su consentimiento «.
EDF ha hecho oídos sordos
EDF también es cuestionado en sus incumplimientos de la obligación de informarde conformidad con los artículos 13 y 14 del RGPD, y el respeto al ejercicio de los derechos, artículos 12, 15 y 21 del RGPD. La CNIL indica que la empresa con sede en París no ha cumplido con su obligación de informar a las personas. Ella preciso que » la carta de protección de datos personales que apareció en el sitio web de la empresa no precisó la base legal correspondiente a cada caso de uso de los datos y fue impreciso en los períodos de retención «.
Además, FED ha incumplido sus obligaciones relativas a los procedimientos para el ejercicio de los derechosartículos 12 del RGPD, al no responder a determinados denunciantes en el plazo de un mes que imponen los textos; respetando el derecho de acceso a los datos, artículo 15 del RGPD, al proporcionar información inexacta sobre el origen de los datos recopilados; y el derecho de oposición de las personas objeto de prospección comercialde conformidad con el artículo 21 del RGPD.
Muy poca protección
Finalmente, la CNIL estimó que EDF no cumplía con los requisitossegún el artículo 32 del RGPD, en materia de seguridad de datos personales. Durante sus operaciones de control, la CNIL descubrió que » las claves de acceso al área de clientes del portal “energía prime” más de 25,000 cuentas se mantuvieron de manera insegura hasta julio de 2022 «.
La CNIL sin embargo, acoge con satisfacción la cooperación de EDF «mitodas las medidas que ha tomado para cumplir defectos de los que se le acusaba «.