Reclamación por brecha de seguridad y robo de datos personales y bancarios (DNI e IBAN).

"Con fecha 12 de enero de 2026, he sido notificado por Endesa Energía S.A.U. de un incidente de seguridad grave en su plataforma comercial que ha permitido el acceso no autorizado a mis datos personales. Según informa la propia compañía, han sido exfiltrados mi nombre, DNI, datos de contacto y mi número de cuenta bancaria (IBAN). Por todo ello, presento esta reclamación ante la OCU para que medie con la entidad y se me garantice por escrito lo siguiente: La confirmación de que se han bloqueado accesos futuros y se ha reforzado la seguridad de mi expediente. El compromiso de Endesa de anular y compensar cualquier cargo no autorizado perjuicio económico derivado de esta negligencia en la custodia de mis datos. La asunción de responsabilidades por el daño moral y el riesgo de suplantación de identidad generado. Informo asimismo de que esta situación ya ha sido denunciada formalmente ante la Agencia Española de Protección de Datos (AEPD).

Buenos días, Le informamos que su reclamación ha sido trasladada para su atención desde un departamento especializado desde donde le darán respuesta a la mayor brevedad posible. Dicho lo anterior, una vez recibida la resolución, rogamos proceda al cierre su reclamación en la presente plataforma. Para cualquier otra aclaración, puede contactar con nosotros a través de los canales de atención que Endesa Energía, SAU, pone a su disposición. Reciba un cordial saludo, Unidad Atención Reclamaciones Avda. Vilanova, 12-14 Nap P1, 08018 Barcelona C/ Ribera del Loira 60, 28042 Madrid Le informamos que Endesa Energía tratará sus datos personales como, responsable del tratamiento, para la gestión de su reclamación. Si desea obtener más información, incluida la forma de ejercer sus derechos, puede consultar nuestra Política de Protección de Datos en www.endesaclientes.comroteccion-de-datos-endesa-energia.

Estimado Sr. Cuenca, En contestación a su solicitud, le confirmamos que la confianza y la seguridad son fundamentales para nuestro negocio y nuestra prioridad es la protección de nuestros clientes. Por este motivo, en cuanto se tuvo conocimiento del incidente se inició una investigación interna y se activaronlos protocolos y procedimientos de seguridad escidos al efecto, lo que ha permitido su rápida contención. Así, una vez la investigación preliminar finalizó y sin mayor dilación, le hemos enviado la correspondiente comunicación para que pueda estar al tanto de lo sucedido y tomar las medidas adecuadas para minimizar las consecuencias del incidente. En este sentido, le confirmamos que, nada más detectarse el incidente, se activarontodos los protocolos de seguridad, entre ellos: Bloqueo inmediato de accesos comprometidos. Análisis de logs y monitorización especial continua. Activación de planes internos de respuesta y contención. Notificación a las autoridades competentes, incluida laAgencia Española de Protección de Datos (AEPD). Comunicación individualizada a las personas afectadas. Colaboración activa con las Fuerzas y Cuerpos de Seguridad del Estado. Asimismo, le confirmamos que la valoración preliminar realizada indica queno existe constancia deque se haya materializadoun uso fraudulento desusdatos, y que resultapoco probableque se materialice un riesgo altopara los derechos y libertades de las personas afectadas. No obstante, se recuerda que el acceso no autorizado podría permitir intentos de: Suplantacióndeidentidad Publicaciónnoautorizadadedatos Phishing ocampañasde spamdirigidas Por lo tanto, para tratar de evitar esas conductas le aconsejamos que se mantenga alerta y preste especial atención al recibir correos electrónicos, correspondencia o llamadas telefónicas inesperadas y sospechosas. Además, le recomendamos que no proporcione datos personales ni información sensible de ningún tipo a personas cuya identidad no pueda verificar de primera mano y que nos comunique cualquier anomalía que pudiera detectar al respecto, así como a los Cuerpos y Fuerzas de Seguridad del Estado. Como hemos indicado, el incidente de seguridad ha sido notificado a la Agencia Española de Protección de Datos, cumpliendo con la normativa aplicable. La notificación incluye el número total de afectados, aunque no se trata de un listado individualizado por persona.  Por último, hemos implementado y seguiremos implementando medidas técnicas y organizativas para paliar, en la medida de lo posible, los efectos del incidente, así como para evitar que incidentes similares puedan volver a ocurrir. Le mantendremos informado de cualquier asunto relevante relacionado con este incidente y rogamos disculpe cualquier inconveniente que este incidente pueda ocasionarle, reiterándole nuestro compromiso con la seguridad y con el cumplimiento de la normativa de protección de datos. Quedamos, como siempre, a su disposición para cualquier consulta relacionada con el tratamiento de sus datos personales y aprovechamos la ocasión para saludarle atentamente,

A la atención del departamento de Reclamaciones / Protección de Datos: Considero su respuesta insuficiente y puramente técnica. La entidad admite que mis datos sensibles (DNI e IBAN) han sido exfiltrados. Que la valoración preliminar de Endesa califique el riesgo como "poco probable" no elimina la vulnerabilidad real de mi información bancaria en la red ni la inquietud generada por su falta de custodia. Más allá de los protocolos internos mencionados, solicito que Endesa se comprometa por escrito a: Responsabilidad civil subsidiaria: Asumir la responsabilidad económica total ante cualquier cargo no autorizado o perjuicio financiero en mi cuenta bancaria derivado de este incidente, sin limitación temporal. Canal prioritario: Facilitar un canal de comunicación específico, gratuito y prioritario para las víctimas de esta brecha de seguridad en caso de detectar indicios de suplantación de identidad. Agravante por gestión indebida de servicios: A la brecha de seguridad se suma un hecho que demuestra la falta de control interno de sus sistemas: tras la baja efectiva por cambio de compañía de mis contratos de suministro, la entidad ha continuado emitiendo cargos bancarios por el servicio de "Mantenimiento de Gas". Esto ocurre a pesar de haber manifestado explícitamente por vía telefónica mi voluntad de no renovarlo ni mantenerlo de forma independiente al suministro principal. Por todo lo anterior, amplío mis pretensiones exigiendo: Devolución inmediata e íntegra de cualquier cuota de mantenimiento de gas cobrada con posterioridad a la fecha de baja del suministro. Acreditación del registro de mi solicitud de baja: Solicito que Endesa aporte el registro o grabación que acredite el trámite de cancelación del citado servicio de mantenimiento. Cese del tratamiento de datos bancarios: La paralización inmediata de cualquier uso de mi IBAN para cobros no autorizados, especialmente dada la situación de vulnerabilidad reconocida por la propia empresa tras el incidente de seguridad. Mantengo esta reclamación abierta ante la OCU y la AEPD a la espera de una resolución que ofrezca garantías reales y compensatorias al consumidor.