A seguito di un'approfondita investigazione, il DPA Spagnolo ha  ritenuto che EDP ENERGIA non abbia adottato misure tecniche e organizzative  per verificare se una persona che assume i suoi servizi per conto di un'altra  persona fisica sia autorizzata a eseguire il contratto. Né ha adottato misure  tecniche e organizzative per verificare se, chi agisce per conto di un'altra  persona fisica, sia autorizzato da tale persona a prestare il consenso ad  altri trattamenti di dati personali per suo conto. Tali consensi sono stati  richiesti durante la procedura di assunzione, per due finalità: invio di  comunicazioni commerciali proprie e di terzi e profilazione con informazioni  provenienti da banche dati di terzi per processi decisionali automatizzati al  fine di inviare proposte commerciali personalizzate e consentire la  contrattazione di determinati Servizi. Di conseguenza, il DPA ha concluso che  l'azienda abbia violato l'articolo 25 del GDPR, ed ha inflitto una sanzione  di 500.000 euro.
Inoltre, il DPA ritiene anche che il documento volto a fornire informazioni  agli interessati non dia informazioni sufficienti sul titolare del  trattamento, la base giuridica del trattamento, le finalità del trattamento  relative alla profilazione sulla base del legittimo interesse, né la  possibilità di opporsi ad attività di trattamento che il titolare fonda sul  suo legittimo interesse. Inoltre, per alcuni servizi dell'impresa (es.  contrattazione telefonica) la modalità di accesso a tutte le informazioni  previste dall'articolo 13 non è semplice ed immediata. Di conseguenza, il DPA  ha ritenuto che l'articolo 13 del GDPR sia stato violato ed ha comminato  un'ulteriore sanzione pecuniaria di 1.000.000 di euro.