En una frase. Endesa (6,1 M EUR), Iberdrola (2,5 M EUR) y Naturgy lideran las sanciones AEPD del sector energético español, principalmente por contrataciones agresivas, scoring opaco y deficiencias en atención a derechos del consumidor.
Puntos clave
- Endesa: 6,1 M EUR acumulados en 35 expedientes desde 2018.
- Iberdrola: 4,2 M EUR acumulados, sanción mayor 2,5 M EUR en 2025.
- Naturgy: 2,8 M EUR. Repsol y TotalEnergies con expedientes en curso.
- Sector responsable del 15% del importe sancionador AEPD.
- Práctica de “captación cazadores”: comerciales externos puerta a puerta.
1. Por qué el sector energético acumula sanciones
La liberalización del mercado eléctrico generó una guerra comercial entre comercializadoras que se trasladó a prácticas agresivas de captación: comerciales puerta a puerta, llamadas masivas, contratos firmados con datos parciales o suplantación de identidad. La AEPD ha sancionado de forma sistemática estas prácticas desde 2019.
2. Endesa: el caso paradigmático
Procedimiento PS/00037/2020 sancionó a Endesa con 6 M EUR por dos infracciones: 5 M EUR por base jurídica inadecuada en el cambio de comercializadora sin consentimiento válido y 1 M EUR por información insuficiente. Procedimientos posteriores en 2022, 2023 y 2025 confirman el patrón. Total acumulado: 6,1 M EUR.
3. Iberdrola: contratación y datos de consumo
Iberdrola acumula 4,2 M EUR en sanciones. Caso de 2025: 2,5 M EUR por información insuficiente sobre tratamiento de datos de consumo procedentes del contador inteligente para análisis comercial. La AEPD recordó que los datos de consumo horario son datos personales conforme al art. 4.1 RGPD y requieren base jurídica específica.
4. Tabla comparativa de las energéticas
| Comercializadora | Acumulado (EUR) | Expedientes | Sanción mayor |
|---|---|---|---|
| Endesa | 6.100.000 | 35 | 6.000.000 (2020) |
| Iberdrola | 4.200.000 | 28 | 2.500.000 (2025) |
| Naturgy | 2.800.000 | 22 | 1.500.000 (2023) |
| Repsol | 850.000 | 9 | 350.000 (2024) |
| TotalEnergies | 620.000 | 7 | 220.000 (2024) |
| Holaluz | 240.000 | 5 | 100.000 (2023) |
5. Cambio de comercializadora sin consentimiento
Práctica más sancionada del sector. Comerciales externos que firman cambios con datos del recibo de la luz sin contacto real con el titular. La AEPD considera infracción muy grave del art. 6 RGPD con sanciones agravadas por reincidencia. Importes típicos: 100.000-500.000 EUR por procedimiento. Bono Social Eléctrico afectado en muchos casos.
6. Contador inteligente: datos masivos
El contador inteligente genera datos horarios de consumo. Estos datos son personales y permiten perfiles detallados de hábitos del hogar. Su tratamiento exige:
- Información específica al cliente (art. 13 RGPD).
- Base jurídica adecuada (consentimiento, contrato o interés legítimo bien fundado).
- Conservación limitada al plazo necesario.
- EIPD obligatoria cuando se use para perfiles automatizados.
7. Comunicaciones comerciales no consentidas
Llamadas comerciales tras alta como cliente sin opción de oposición previa. La Ley General de Telecomunicaciones (art. 66) y el RGPD exigen base jurídica específica para marketing. Inscripción del cliente en la Lista Robinson obliga a la comercializadora a verificarla antes de toda campaña.
8. Bono social y datos sensibles
El bono social eléctrico exige tratamiento de datos sobre situación económica, familiar y de discapacidad. Son categorías especiales o datos asimilables. La AEPD ha sancionado a varias comercializadoras por gestión deficiente: acceso no controlado, documentación insuficiente, conservación más allá del plazo regulatorio.
9. Atención a derechos: tiempos y trazabilidad
Las energéticas reciben miles de solicitudes ARCO. La AEPD exige respuesta en 30 días naturales (art. 12 RGPD) con posible prórroga motivada de 60 días adicionales. Las plantillas genéricas que niegan derechos sin análisis individualizado son sancionables.
10. Brechas de seguridad en utilities
El sector energético es infraestructura crítica conforme a la Directiva NIS2. Las brechas requieren notificación a la AEPD (art. 33 RGPD), al CCN-CERT y al regulador sectorial. Procedimiento típico tras incidente: identificación, contención, notificación 72h, comunicación a afectados, análisis forense, medidas correctivas y revisión ENS.
11. Cómo prevenir sanciones en utilities
- Auditoría mensual a la red de captación externa con muestreo de contratos.
- Doble verificación: SMS + voz grabada antes de activar cambio de comercializadora.
- Política específica sobre datos de consumo horario.
- Procedimiento ARCO con respuesta en 30 días y trazabilidad completa.
- Formación trimestral a comerciales en RGPD básico.
FAQ
¿Cuál es la sanción más alta a una energética en España?
Endesa con 6 M EUR en 2020 por cambios de comercializadora sin consentimiento.
¿Pueden cambiarme de compañía sin mi permiso?
No. El cambio de comercializadora requiere consentimiento del titular del punto de suministro. Si ocurre, denuncie a la AEPD y reclame el restablecimiento.
¿Los datos del contador inteligente son datos personales?
Sí. Permiten identificar al consumidor y perfilar hábitos. Su tratamiento exige base jurídica específica conforme al art. 6 RGPD.
¿Cómo solicito que dejen de llamarme?
Ejerza el derecho de oposición (art. 21 RGPD) por escrito y, si la actividad continúa, denuncie a la AEPD. Inscríbase en la Lista Robinson.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial