La protección de datos sigue siendo un problema para muchas compañías. Hemos visto como compañías tan dispares como Facebook, Xiaomi, Metrovalencia o Movistar han tenido problemas para guardar correctamente la información de sus usuarios, y ahora se suma a la lista una de las nuevas eléctricas que empiezan a hacerse un hueco en el mercado español: la comercializadora eléctrica Holaluz.

La compañía, que cuenta ya con casi 200.000 clientes en nuestro país, ha dejado al descubierto en su web los denominados códigos CUPS, o Código Universal de Punto de Suministro. Se trata de un número de identificación de las instalaciones eléctricas que, al unirse a otros datos, como la dirección de domicilio concreta, tal y como revela también la página de Holaluz, resulta en la publicación de información privada y sensible de los usuarios que no debería estar ahí. El fallo, corroborado y validado por este diario, ha sido descubierto y puesto en conocimiento de la compañía por la asociación de consumidores Facua.

¿Cómo muestran toda esa información? De una forma mucho más sencilla e intencionada de lo que cabría imaginar. Holaluz vende entre sus productos estrella una tarifa que se llama ‘Tarifa Justa’. La lanzó el 7 de octubre de 2018y desde ese momento abrieron en su web una especie de buscador que te ayuda a saber, con exactitud, cuál es la tarifa ‘justa’ que tienen para tu caso. Y es ahí donde se encuentra el problema.

El objetivo de esta herramienta es ofrecerte (según fuentes internas de la compañía), usando una estimación que hacen usando datos del SIPS (Sistema de información de puntos de suministro), el precio que deberías estar pagando en tu factura de la luz en relación a lo que consumes según este baremo. Ahí encontramos el primer fallo, pues la búsqueda puede llevar a confusión ya que la herramienta está totalmente abierta y es posible buscar la estimación de cualquier dirección que te venga a la cabeza, con el aliciente de que en el resultado este cálculo te viene definido como 'tarifa actual' (puedes pensar que es un dato real). Una estimación que, además, no aparece en las webs de sus principales competidores.

Pero lo peor se encuentra más abajo. Y es que con unos pequeños conocimientos de programación y desarrollo web es posible acceder a información aún más sensible.

Tras la búsqueda y haciendo un pequeño repaso por las entrañas, encontramos, sin protección, una API con una base de datos llena de direcciones asociadas a sus instalaciones eléctricas y a la información de la misma. Es ahí donde podemos dar con los ya citados CUPS sabiendo con total certidumbre que corresponden a una dirección en concreto. ¿Para qué sirven estos CUPS? Es el código único que tiene una instalación eléctrica y es clave a la hora de hacer cualquier gestión relacionada con nuestro contrato de luz.

Contactados por Teknuatas, fuentes de Holaluz explican que ya están trabajando para arreglar los posibles fallos y aseguran que "a día de hoy, los datos que ofrecemos a través de nuestra web forman parte de una propuesta comercial que se genera en base a algoritmos y curvas estandar de consumo que Holaluz crea para poder ofrecer las condiciones más adecuadas a cada cliente. Igualmente, estamos en proceso de auditoría para renovar el sello de Confianza Online, del que ya disfrutamos desde el año pasado, y a la espera de que se clarifique la normativa al respecto".

¿Se saltan las leyes?

Después de leer esto la pregunta es clara: ¿es esta solo una mala práctica o se saltan la ley? Segúno los reglamentos de protección de datos y el Real Decreto que regula las condiciones básicas de los contratos de adquisición de energía, todo apunta a que infrigen el reglamento.

Al menos así lo cree el abogado especialista en protección de datos y socio de la firma de abogados 451.legal, Samuel Parra. "Si solo pusiesen, por ejemplo, la tarifa recomendada para un inmueble no ocurriría nada, pero al asociar una dirección concreta con un dato único como es el CUPS ya estás dejando al descubierto un conjunto de datos personales que debería estar protegido para evitar el uso ilícito del mismo, como indica el propio RGPD europeo".

 

La base de datos que utiliza la compañía para sus cálculos es totalmente legal, pero sus datos solo deberían poder ser consultados por el propio usuario. Así al menos lo indica la legislación vigente. "La ley 1435/2002 que regula las condiciones básicas de los contratos de adquisición de energía y el funcionamiento del SIPS establece en el apartado 4 del artículo 7 que solo las distribuidoras, las comercializadoras, las entidades competentes y el titular del contrato pueden consultar esta información. Además, el propio titular puede pedir por escrito que solo sea su propia comercializadora la que tenga sus datos", apunta Parra.

Desde la asociación Facua, su portavoz Rubén Sánchez asegura a este periódico que decidieron hacer público este descubrimiento después de ver que tras 15 días desde que mandaron el primer aviso a Holaluz explicando lo que ocurría, la compañía no había hecho nada para arreglar el buscador. "Queremos que la Agencia de Protección de Datos (AEPD) evalúe las prácticas de Holaluz porque nos parece que se da acceso libre a una información privada, y no solo eso, sino que esos datos pueden ser utilizados por usuarios malintencionados".

 

TTCS Holaluz

 

Fuente: Elconfidencial