Los datos sobre consumo energético que permitan asociar hábitos de consumo (como horas de sueño u horarios en los que se está en casa) con un individuo determinado deben ser considerados datos sensibles a ojos de la normativa sobre protección de datos de carácter personal, y por tanto gozar de su protección.
Fuente: Noticias Jurídicas
09 de agosto, 2019
-España-
Esta ha sido la conclusión a la que ha llegado el Tribunal Supremo (sentencia de Sala Tercera, disponible aquí) respecto a los datos de consumo energético individualizado contenidos en las Curvas de Carga Horaria, el desglose horario del consumo de los diferentes puntos de carga de los consumidores domésticos que realiza el distribuidor eléctrico.
Los distribuidores eléctricos pueden, pero no están obligados, desde una reciente resolución de la Secretaria de Estado de Energía (que el Supremo ahora impugna), enviar estas mediciones de las curvas de carga horaria (CCH) al concentrador principal, gestionado por el operador del sistema, si estos las reclaman para realizar labores de inspección.
Estos datos son enviados junto con un código de identificación de cada punto de suministro, el CUPS (código universal de puntos de suministro), para permitir al operador del sistema poder acudir in situ a los puntos de suministro y comprobar que todo funciona correctamente.
En esta situación, el Supremo considera que el operador de suministro puede fácilmente relacionar, en estas operaciones en persona, datos de consumo con un individuo en concreto, ya que una vez en el lugar se puede identificar el individuo con métodos sencillos, como consultar los nombres del buzón, el telefonillo de portería, o simplemente preguntando al conserje.
Esto puede permitir relacionar alguien con nombres y apellidos a datos tan sensibles como cuándo duerme, si está en casa o no o cuándo se va de vacaciones, todo asociándolo a su consumo eléctrico.
Por ello, el Supremo sentencia que los CCH deben ser considerados datos de carácter personal, en concreto datos “seudonimizados”, es decir, aquellos que permiten la identificación de una persona si se relacionan con otros datos.
Se les debe aplicar por tanto la normativa de protección de datos y todas sus garantías. No obstante, el TS no considera que se deba pedir el consentimiento del individuo, por atender estas operaciones de inspección a cuestiones de interés general.
Recurso de Iberdrola
El Alto Tribunal responde así al recurso interpuesto por Iberdrola para interpretar el alcance de la definición de datos de carácter personal, a efectos de determinar si los datos contenidos en las CCH integran o no datos personales a los que se pueda aplicar la debida protección.
La resolución corrige la sentencia de la Audiencia Nacional, que desestimaba las pretensiones de Iberdrola sobre la misma cuestión y declaraba que la remisión por las distribuidoras al operador del sistema de los datos de consumo individual de cada punto de suministro, junto con los CUPS, no podían ser considerados como datos de carácter personal.
El Supremo sin embargo revoca dicha resolución. El tribunal acepta impugnar y revocar la resolución de la Secretaría de Estado de Energía que aprueba determinados procedimientos de operación para el tratamiento de datos de medida procedentes de los equipos de tipo 5, a efectos de facturación y de liquidación de energía, obligando a los distribuidores (que son los responsables de la lectura de los contadores de los consumidores) a enviar las mediciones de la curvas de carga horaria individualizada, es decir las medidas horarias de consumo de cada consumidor desde los concentradores secundarios, gestionados por las distribuidoras para poder ejercer la lectura de los contadores, al concentrador principal gestionado por el operador del sistema.
Pedir consentimiento o aplicar excepción
En la medida en este intercambio de información sirve al cumplimiento de fines directamente relacionados con las funciones legítimas tanto del cedente como del cesionario, y que en última instancia redundan en una función de inspección, cabe aplicar un régimen de excepción recogido en el artículo 6 sobre el consentimiento del propietario de los datos.
Subraya el Supremo que la función de inspección in situ, cuestionada en el recurso, parte de una previa solicitud por la Administración o la CNMC sobre el proceso de lectura, alta, baja o modificación de frontera de los datos y para unos determinados periodos. Es una actividad de inspección normativamente reconocida, ordenada previamente por la Administración o por un ente regulador y limitada a determinados puestos y/periodos.
Dicho de otro modo, en la medida en que para poder realizar la inspección, el operador debe solicitar a las distribuidoras que le faciliten la ubicación concreta del puesto, porque hasta ese momento la información de consumo de un punto de suministro de la que dispone el operador está disociada de su ubicación concreta y de la identidad del usuario, este cruce de información solo se produce para investigaciones concretas y que persiguen un fin de interés general, y por ello no es necesario obtener el consentimiento previo de los afectados.