La Agencia Española de Protección de Datos da 10 días a la comercializadora eléctrica Octopus Energy para que responda a un usuario que quiere oír la grabación con la voz de los defraudadores que le cambiaron sin permiso de compañía eléctrica, junto con su IP y teléfono.
La fuerte competencia entre comercializadoras de electricidad obliga a las compañías a ofrecer suculentos incentivos económicos a su red comercial por cliente captado y esto atrae a algunos distribuidores sin demasiados escrúpulos que recurren a métodos poco éticos, cuando no directamente fraudulentos. La captación telefónica de clientes utilizando datos personales procedentes de bases de datos de origen ilegal o los cambios de comercializadora sin autorización del titular del contrato son algunas de las malas prácticas que azotan al sector.
Si has pasado por alguna de estas malas experiencias y quieres saber más sobre quién estaba detrás, la AEPD respalda el derecho del afectado a obtener algunos datos relacionados con el ataque.
La agencia interviene1 tras la denuncia de un usuario que sufrió un cambio no solicitado de comercializadora eléctrica, por lo que solicitó a su nueva compañía, Octopus Energy, información acerca de la identidad de la persona que había realizado el cambio. El usuario preguntaba por el número de teléfono desde el que se llamó, la grabación del contrato verbal, así como la dirección IP desde la que se firmó la documentación. También quería saber cómo Octopus comprobó los datos de la persona que usurpó su identidad.
Aunque la empresa respondió al usuario y le pidió disculpas por el incidente, no incluyó ninguno de los datos que se le solicitaban. A pesar de que los datos solicitados se refieren al defraudador y no son los del usuario, la AEPD entiende que deben tratarse como suyos.
En caso de usurpación de identidad, una persona actúa fraudulentamente en nombre de otra persona. En este contexto, es importante recordar que debe facilitarse a la víctima información sobre todos los datos personales que el responsable del tratamiento almacene en relación con su identidad, incluidos los que se hayan recopilado sobre la base de las acciones del defraudador. En otras palabras, incluso después de que el responsable del tratamiento tuviera conocimiento de la usurpación de identidad, los datos personales asociados o relacionados con la identidad de la víctima constituyen datos personales del interesado.
Esto implica que en caso de fraude, como en un cambio de compañía eléctrica sin permiso o por ser víctima de SIM swapping, el usuario tiene derecho a acceder a todos los datos del atacante y si lo prefiere, utilizarlos para iniciar acciones legales.
