A: ENDESA ENERGÍA, S.A.U.
Fecha: [15/01/2026]
Como cliente afectado, presento denuncia pública tras recibir el 12 de enero de 2026 una comunicación oficial de Endesa Energía informando de un incidente de seguridad en su “plataforma comercial” que permitió un acceso no autorizado e ilegítimo a datos personales de clientes, incluidos los asociados a mi contrato.
En dicha comunicación, Endesa indica que el actor malicioso habría tenido acceso y podría haber extraído datos identificativos básicos, datos de contacto, DNI, datos relativos al contrato y eventualmente medios de pago (IBAN), aclarando que no se habrían comprometido contraseñas. También afirma haber activado protocolos internos y haber notificado el incidente a la AEPD.
Aunque Endesa señala que no consta un uso indebido de los datos, la propia compañía reconoce posibles escenarios de suplantación de identidad, pérdida de control de los datos, mensajes de engaño para obtener información y spam, lo que supone un impacto relevante para los afectados, especialmente si se han expuesto DNI y/o IBAN.
SOLICITO PÚBLICAMENTE A ENDESA:
Transparencia verificable
Confirmación de qué categorías de datos se vieron afectadas (incluyendo si hubo o no exposición de IBAN en cada caso).
Periodo aproximado durante el cual existió el acceso no autorizado.
Explicación clara de las medidas implementadas y qué ha cambiado para que no se repita.
Referencia de notificación a la AEPD
Facilitar número de referencia / justificante de la notificación a la Agencia Española de Protección de Datos o información suficiente para su trazabilidad.
Medidas anti-suplantación con verificación reforzada
Bloqueo preventivo para impedir cambios de titularidad, modificaciones contractuales y cambio de cuenta bancaria sin verificación robusta (firma electrónica avanzada u otro sistema equivalente), con registro auditable.
Garantía de indemnidad
Compromiso explícito de asumir los perjuicios económicos derivados del incidente (cargos no reconocidos, operaciones no autorizadas, contratación no consentida, gestiones de reversión, etc.) y un procedimiento sencillo para reclamarlos.
Compensación por el perjuicio causado
Compensación proporcional por el daño moral y el tiempo invertido por los clientes en protegerse frente al riesgo generado, especialmente si los datos expuestos incluyen identificadores fuertes (DNI) y/o datos bancarios (IBAN).
Canal específico para afectados con trazabilidad
Habilitar un canal único para afectados con número de caso, plazos y seguimiento por escrito, evitando que la única opción sea un teléfono sin constancia documental.
Si no se ofrece una respuesta concreta y medidas suficientes, me reservo el derecho a elevar reclamación ante la AEPD y a valorar acciones individuales o colectivas como afectado por esta brecha.
