L'APD espagnole a infligé une amende de 6,1 millions d'euros à ENDESA ENERGÍA, SAU en raison d'une faille de sécurité ayant entraîné un accès non autorisé à ses systèmes. Le responsable du traitement avait informé l'APD que certaines publicités Facebook avaient été placées proposant la vente d'identifiants de connexion à la plateforme Endesa, entraînant la compromission de données telles que les noms, prénoms, numéros d'identification, numéros de téléphone, adresses e-mail, adresses postales, numéros de compte bancaire, de millions de personnes. L'APD a constaté que le responsable du traitement n'avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles afin de prévenir de tels incidents. En outre, le responsable du traitement n'a pas informé l'APD et les personnes concernées de l'incident de sécurité en temps utile. Enfin, l'APD a constaté que le responsable du traitement n'avait pas mis en œuvre de garanties adéquates pour le transfert de données personnelles vers des pays non couverts par une décision d'adéquation de la Commission européenne.