La Agencia Española de Protección de Datos (AEPD) ha sancionado a BONTECU DISTRIBUCIONES, S.L.U. (que opera como “Enciende Energía”) con una multa total de 20.000 euros por múltiples infracciones del RGPD relacionadas con la contratación irregular de suministros energéticos para Factor Energía.
¿Qué ocurrió?
El 27 de junio de 2023, un ciudadano recibió en su teléfono un contrato de suministro eléctrico de FACTOR ENERGÍA que contenía:
- Sus datos personales completos (nombre, DNI, domicilio, teléfono, email)
- Datos del punto de suministro (código CUPS)
- Datos bancarios, incluido el número de cuenta
- Orden de domiciliación de pago
- Solicitud de cambio de titularidad
El reclamante afirmó que nunca formalizó relación contractual alguna con dicha compañía y exigió conocer cómo obtuvieron sus datos.
La cadena de subcontratación irregular
La investigación reveló una compleja estructura de subcontratación:
Primer nivel: Factor Energía contrató a Bontecu (Enciende Energía) como agente comercial para la televenta de sus servicios energéticos.
Segundo nivel: Bontecu, a su vez, subcontrató a un colaborador externo (B.B.B.) para realizar las llamadas comerciales, sin autorización previa de Factor Energía.
Tercer nivel: Este agente externo realizó la llamada al reclamante y cumplimentó el contrato con sus datos, pero no remitió la grabación de la llamada ni completó el proceso de validación.
Las infracciones detectadas
La AEPD identificó tres infracciones graves del RGPD:
Infracción del artículo 6.1 del RGPD – Ausencia de base de licitud (15.000 euros)
Bontecu no acreditó que el reclamante hubiera prestado su consentimiento para el tratamiento de sus datos. El contrato de agencia con Factor Energía exigía expresamente:
“Grabación de voz del proceso de contratación de conformidad con los argumentarios proporcionados. Deberá asegurarse que el cliente está debidamente informado de que la suscripción del contrato implica un cambio de compañía comercializadora.”
Sin embargo, Bontecu no aportó la grabación de la llamada ni demostró ninguna otra base de legitimación del artículo 6 RGPD.
Infracción del artículo 28.2 del RGPD – Subcontratación no autorizada (2.500 euros)
Bontecu contrató al colaborador externo B.B.B. como subencargado del tratamiento sin autorización previa y por escrito de Factor Energía, que actuaba como responsable del tratamiento.
El contrato entre Factor Energía y Bontecu no contemplaba la posibilidad de subcontratación. Factor Energía manifestó que rescindió el contrato con Bontecu por su “incapacidad para cumplir con las medidas y mejoras implementadas para prevenir fraude y mala praxis en la contratación de canales externos de televenta.”
Infracción del artículo 28.4 del RGPD – Contrato de subencargo deficiente (2.500 euros)
El contrato entre Bontecu y el subencargado B.B.B. era prácticamente idéntico al suscrito entre Factor Energía y Bontecu, pero no cumplía los requisitos mínimos del artículo 28.3 del RGPD:
- No especificaba claramente la finalidad del tratamiento
- No detallaba la naturaleza específica del tratamiento
- No identificaba el tipo de datos personales ni las categorías de interesados
- Las medidas de seguridad se describían de forma genérica
- No precisaba cómo debía ayudar el encargado al responsable
- No detallaba la frecuencia de intercambio de información
Las alegaciones rechazadas de Bontecu
La empresa intentó defenderse argumentando:
Sobre la falta de consentimiento:
Alegó que era “titular de un fichero con datos de contacto de potenciales clientes obtenidos de forma lícita” y que no le correspondía actuar como responsable de esa base de datos.
La AEPD rechazó este argumento señalando que Bontecu actuó como responsable de facto al determinar fines y medios del tratamiento de forma incompatible con las instrucciones de Factor Energía, especialmente al subcontratar sin autorización.
Sobre la subcontratación:
Intentó justificar que el responsable había autorizado “de forma generalista” la subcontratación.
La AEPD rechazó esta alegación al no existir autorización expresa en el contrato. De hecho, la propia Bontecu había reconocido anteriormente que la subcontratación “no está permitido” según las obligaciones del encargado.
Sobre el contenido del contrato:
Defendió que el contrato con el subencargado cumplía los requisitos mínimos al ser idéntico al firmado con Factor Energía.
La AEPD rechazó este argumento, criticando precisamente que el contrato fuera una mera reproducción literal sin adaptación a las particularidades del subencargo, y que además no cumplía con los elementos mínimos exigidos.
El principio de responsabilidad proactiva
La AEPD destacó la importancia del artículo 5.2 del RGPD, que establece que el responsable del tratamiento debe ser capaz de demostrar el cumplimiento de la normativa.
Bontecu no pudo acreditar:
- Que existiera consentimiento (ni aportó la grabación exigida contractualmente)
- Que existiera autorización para la subcontratación
- Que se hubieran implementado medidas técnicas y organizativas adecuadas
La cuantificación de las sanciones
La AEPD tuvo en cuenta varios factores agravantes:
- La naturaleza grave de las infracciones
- La vinculación de la actividad de Bontecu con el tratamiento de datos personales de forma habitual
- La falta de cooperación (no aportó la grabación solicitada)
- El tratamiento de datos de categoría especial (datos financieros)
Como factor atenuante, consideró el volumen de negocios reducido de la empresa (1.143.073 euros en 2023), ajustando las multas inicialmente propuestas de 25.000 a 20.000 euros.
La distribución final de las sanciones
- 15.000 euros por infracción del artículo 6.1 RGPD (falta de base de licitud)
- 2.500 euros por infracción del artículo 28.2 RGPD (subcontratación no autorizada)
- 2.500 euros por infracción del artículo 28.4 RGPD (contrato de subencargo deficiente)
Total: 20.000 euros
Aspectos relevantes del caso
Responsabilidad del encargado convertido en responsable:
El artículo 28.10 del RGPD establece que si un encargado infringe el RGPD al determinar los fines y medios del tratamiento, será considerado responsable con respecto a dicho tratamiento.
Cadenas de subcontratación:
Las Directrices 07/2020 del CEPD aclaran que cuando un encargado desea recurrir a otro participante, se añade otro eslabón a la cadena y se activan las obligaciones del artículo 28.2 RGPD.
Autorización de subencargados:
Puede ser específica (indicando qué subencargado concreto) o general (con obligación de informar de cambios y dar oportunidad de oposición al responsable).
Imposibilidad de cambiar la base de legitimación:
Las Directrices 5/2020 del CEPD establecen que el responsable no puede cambiar retrospectivamente de la base del consentimiento a otra base jurídica cuando encuentra problemas con su validez.
Referencia: Resolución PS/00226/2024 – Expediente N.º EXP202311333
Documento completo: https://www.aepd.es/documento/ps-00226-2024.pdf