Tras la denuncia de FACUA-Consumidores en Acción, Holaluz ha reconocido que su web deja al descubierto datos de los contratos de electricidad de usuarios de cualquier compañía. Pero en lugar de anunciar que llevará a cabo medidas para evitar que esto siga ocurriendo, se ha limitado a afirmar que tiene "confianza" en que nadie usará ilícitamente esos datos.

FACUA ha ampliado este martes la denuncia interpuesta ante la Agencia Española de Protección de Datos (AEPD) y espera que el organismo evalúe con celeridad si las prácticas de Holaluz (Clidom Energy SL) vulneran el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En el apartado de la web de Holaluz donde facilita información sobre sus tarifas, la página invita a los usuarios a introducir una dirección postal para indicarles qué oferta les recomienda. Tras esto, la compañía muestra la tarifa que propone para el inmueble introducido, pero cualquier persona con unos conocimientos muy básicos de programación web puede acceder tanto a datos relativos al número de kilovatios hora (kWh) consumidos en un determinado periodo en esa dirección como a su CUPS, lo que comúnmente se conoce cono el DNI de una instalación eléctrica. En las últimas horas, la empresa sólo ha eliminado de su página el dato que mostraba en abierto para todos los usuarios, relativo a la potencia contratada en el domicilio que se introdujese en su web.

Se trata de datos sensibles que, de mostrar un consumo muy reducido, permiten deducir que un inmueble podría estar vacío, una información de especial interés para quienes se dediquen a los robos en viviendas y oficinas. Asimismo, la obtención de la CUPS de un domicilio podría facilitar que se suplantase al titular del contrato, acceder a información histórica sobre sus datos de consumo y facturación e incluso cambiarle de compañía.

Sigue sin contestar a la reclamación

La empresa sigue sin contestar a la reclamación que el equipo jurídico de FACUA le trasladó hace ya 16 días. Después de que el caso haya trascendido públicamente, Holaluz ha publicado una serie de tuits en los que reconoce que los datos de los contratos de los usuarios de cualquier compañía están expuestos en su web, pero asegura que "son necesarios conocimientos informáticos avanzados para acceder a estos datos".

Obviamente, FACUA no va a hacer públicos los pasos que cualquier usuario puede seguir para acceder a los datos personales de terceros que expone la web de Holaluz, pero advierte de que, en cualquier caso, el hecho de que sean accesibles ya implica que esto debe evitarse, independientemente de la mayor o menor complejidad que represente llegar a ellos.

Las excusas de Holaluz

"En nuestra web contamos con un aviso legal que advierte a los usuarios de su responsabilidad en el uso fraudulento de datos", ha afirmado también Holaluz a través de su cuenta de Twitter. Para FACUA, resulta disparatado que la comercializadora use este argumento, como si ello la eximiera de su responsabilidad ante la exposición pública de datos personales de terceros que están siendo objeto de tratamiento por parte de la empresa.

Y rizando el rizo, Holaluz llega a afirmar que tiene"confianza" en que nadie utilizará de manera ilícita los datos que deja expuestos su web. "Entendemos que quien use el tarificador lo hará solo para saber cuál sería su cuota". "Nuestra relación con el cliente se basa en la confianza y en ese contexto creemos que podemos confiar en el buen uso de la información desde el otro lado", ha afirmado en sendos tuits.