Artículo 24. Real Decreto 88/2026, de 11 de febrero, Reglamento general de suministro, comercialización y agregación de energía eléctrica

1. El intercambio de información entre la empresa que preste servicios de agregación y el distribuidor se regirá por lo establecido en la correspondiente resolución de la Comisión Nacional de los Mercados y la Competencia por la que se aprueban los formatos de los ficheros de intercambio de información entre distribuidores y agregadores.

2. La puesta a disposición de la información relativa a la curva de carga por parte del distribuidor se realizará a través de los cauces establecidos en los procedimientos donde se regulan los protocolos de intercambio de información, de seguridad y de confidencialidad de los datos procedentes de los equipos de medida conectados al sistema de telegestión entre los agentes a efectos de facturación y liquidación de la energía aprobados al amparo de lo previsto en la disposición adicional quinta del Real Decreto 216/2014, de 28 de marzo.

Los datos a los que hace referencia el párrafo anterior tendrán carácter confidencial y serán accesibles únicamente por el agregador independiente con contrato vigente para el consumidor en el período temporal al que corresponde la información que contiene, salvo autorización expresa por parte del consumidor, sin coste alguno, para que puedan acceder a sus datos otros agregadores independientes. Para ello, el agregador independiente deberá acreditar su capacidad de representación ante el distribuidor.

El encargado de recabar el consentimiento expreso del consumidor para que otros agregadores independientes sin contrato en vigor con el consumidor accedan a la información sobre los datos de curva de carga será el distribuidor. Estos agregadores independientes serán plenamente responsables de garantizar la confidencialidad de la información sobre la curva de carga de acuerdo con la normativa en vigor.

El consentimiento para permitir el acceso a la información sobre los datos de curva de carga a otros agregadores independientes sin contrato en vigor deberá ser renovado por el consumidor cada seis meses, momento en el que el distribuidor informará al consumidor de las consultas realizadas.

El agregador será plenamente responsable de garantizar la confidencialidad de la información sobre la curva de carga de sus consumidores, conforme a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y no podrá utilizarla para fines ajenos a su actividad como agregador independiente, sin perjuicio de las obligaciones de información impuestas por la ley en cada momento.

Dicha responsabilidad no podrá delegarse ni transferirse a terceros, sin perjuicio de que la gestión de la facturación de la energía pueda corresponder a otra entidad que no coincida jurídicamente con la titular.

En todo caso, se exigirá la garantía de confidencialidad y la protección de datos referidos a las personas físicas afectadas, de acuerdo con lo establecido en el Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales y demás normativa vigente en materia de seguridad y protección de datos.

El agregador independiente garantizará el cumplimiento de las medidas de seguridad del artículo 32 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales, asegurando, además, la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de acceso a datos, y adoptando las medidas que garanticen el cumplimiento de los principios del tratamiento y el deber de confidencialidad del personal con acceso a datos.

Además, en estos supuestos, el agregador independiente habrá de establecer con dicha entidad los pactos que en cada caso se puedan requerir, así como el contrato al que se refiere el artículo 28.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 /CE.