Autor: Jordi Vegueria Ocáriz
En enero de 2026, Endesa Energía y su comercializadora del mercado regulado (Energía XXI) comunicaron a clientes un incidente de seguridad consistente en un acceso no autorizado a su plataforma comercial. Según la información publicada por la propia compañía, el atacante habría podido acceder y exfiltrar datos identificativos y de contacto, DNI, datos del contrato, y eventualmente datos de pago (IBAN), indicando que no se habrían visto comprometidas contraseñas.
Este tipo de incidente tiene una consecuencia práctica inmediata: con una combinación de datos reales (nombre, DNI, teléfono, contrato, IBAN) aumenta notablemente el riesgo de phishing (engaños por email/SMS), vishing (engaños por llamadas), intentos de suplantación de identidad y estafas dirigidas. De hecho, tanto Endesa/Energía XXI como organismos de referencia en ciberseguridad han advertido de esa posibilidad.
1) Marco jurídico aplicable: RGPD y LOPDGDD
En España, estos incidentes se encuadran en el Reglamento General de Protección de Datos (RGPD) y la LOPDGDD. Desde el punto de vista legal, hay tres planos clave:
a) Deber de seguridad.
El responsable del tratamiento (la empresa) debe aplicar medidas técnicas y organizativas apropiadas para proteger los datos. Si se produce una brecha, la cuestión jurídica central suele ser si existió una protección “adecuada” al riesgo y al estado de la técnica (lo que luego condiciona sanciones y, en su caso, responsabilidad).
b) Deber de notificación a la Autoridad de Control y, en determinados casos, a los afectados.
La AEPD recuerda que el responsable debe valorar el riesgo y, cuando exista riesgo para derechos y libertades, notificar la brecha; el plazo general es de 72 horas desde que se tiene constancia. Y si el riesgo es alto, además debe comunicar la brecha a los afectados (art. 34 RGPD).
c) Derecho a reclamar y a ser indemnizado si hay daño.
El RGPD reconoce el derecho a obtener indemnización por daños y perjuicios materiales o inmateriales cuando exista una infracción y un daño causalmente conectado. El debate práctico suele estar en probar el daño (p. ej., perjuicio económico, tiempo y gestiones, angustia acreditable) y el nexo con la brecha.
2) Qué puede hacer un afectado: pasos útiles y “bien probados”
Si has recibido comunicaciones sospechosas (emails/SMS/llamadas) “haciéndose pasar por Endesa” o por entidades vinculadas, conviene actuar en dos frentes: prevención y prueba.
A) Prevención (para cortar el fraude antes de que ocurra)
- Desconfía por defecto de enlaces, adjuntos y llamadas entrantes que pidan “verificar datos” o “actualizar” información. Endesa recomienda vigilar especialmente comunicaciones anómalas y no facilitar datos sensibles a desconocidos.
- Activa alertas bancarias (notificaciones de cargos/transferencias) y revisa movimientos. Si tu IBAN pudiera estar expuesto, la vigilancia financiera es prioritaria.
- Refuerza seguridad en tus cuentas (correo, banca, área de cliente): contraseñas robustas y, si es posible, segundo factor. INCIBE incluye recomendaciones en esa línea y sugiere incluso “egosurfing” para comprobar si los datos aparecen publicados.
B) Prueba (para poder reclamar con solidez)
- Guarda todo: capturas de pantalla, cabeceras de email, números de teléfono, audios, fechas, y cualquier URL (sin clicar si hay sospecha).
- Si hay cargo fraudulento o contratación no consentida, recopila extractos bancarios, comunicaciones con el banco y denuncia (esto refuerza muchísimo la trazabilidad del daño).
3) Vías de reclamación: Endesa, AEPD y, si procede, tribunales
1) Reclamación previa / solicitud de información a la empresa (muy recomendable)
Antes (o además) de acudir a la AEPD, es útil dirigir un escrito al Delegado de Protección de Datos (DPO) solicitando:
- confirmación de si tus datos están afectados y qué categorías concretas,
- explicación comprensible de medidas adoptadas y recomendaciones,
- constancia documental de tu comunicación y de la respuesta.
Organizaciones de consumidores han difundido modelos orientativos de reclamación.
2) Reclamación ante la AEPD (vía administrativa)
Si la respuesta es insuficiente, o si aprecias irregularidades (falta de información, medidas claramente insuficientes, consecuencias relevantes), cabe reclamar ante la AEPD. En este contexto, asociaciones como FACUA ya han instado a que se investigue la brecha.
3) Indemnización por daños (vía civil, en su caso)
Cuando hay daño (económico o inmaterial) y base jurídica para sostener una infracción y relación causal, puede plantearse una reclamación indemnizatoria. No es “automática”: se construye con hechos, prueba y estrategia (qué daño, cómo se acredita, qué conducta imputable, y qué cuantía razonable).
4) Señales típicas de suplantación tras una brecha (para detectar rápido)
- SMS o emails que “parecen oficiales” y te llevan a un enlace para “regularizar” un pago o “verificar” datos.
- Llamadas donde conocen datos reales tuyos (DNI, dirección, contrato) y por eso el engaño resulta creíble.
- Peticiones de códigos (OTP), claves, firmas electrónicas, o “validación” de datos bancarios.
Si detectas cualquier indicio de uso fraudulento, INCIBE recomienda actuar con rapidez y, si procede, denunciar ante Fuerzas y Cuerpos de Seguridad.
Cómo puede ayudarte LEXITER Abogados
En LEXITER Abogados analizamos tu caso con enfoque práctico: verificamos el alcance de la exposición, revisamos la trazabilidad del fraude (si lo hay), preparamos la reclamación al DPO, y, cuando procede, planteamos reclamación ante la AEPD y/o acción de daños con una estrategia probatoria sólida.
Si has recibido intentos de suplantación, o ya has sufrido un perjuicio, podemos ayudarte a ordenar pruebas, redactar comunicaciones y defender tu posición con rigor.
LEXITER Abogados. https://lexiterabogadosonline.com/