¿Alguna vez un repartidor que trabaja en una empresa de mensajería te ha dejado el paquete que pediste por internet al vecino sin tu consentimiento? Seguro que, o te ha pasado, o conoces a alguien que haya vivido esta situación.
Pues por estos hechos, la Agencia Española de Protección de Datos (AEPD) ha sancionado a la compañía United Parcel Service España (UPS) con 70.000 euros por haber incumplido dos artículos del Reglamento General de Protección de Datos, en concreto, el 5.1 f) y el 32.
Un ciudadano realizó un pedido a Media Markt y fue entregado a una de las vecinas de la comunidad en la que reside, sin previo aviso y, por tanto, sin contar con su consentimiento previo y expreso.
Para esclarecer los hechos, la AEPD contactó con UPS para que formulase las alegaciones y presentase los documentos y justificantes que estimase procedentes. Ésta manifestó que la empresa presta servicios a Media Markt bajo las condiciones previstas en el contrato suscrito entre ambos.
Según declaró UPS, la empresa «actúa y procede según lo acordado con Media Markt y con el objetivo de garantizar la entrega y el pedido en el plazo y forma acordado con la empresa, siempre a favor y en interés del propio denunciante”.
Presentó dos cláusulas como prueba
Como prueba, presentó dos cláusulas que se encontraban presentes en los términos y condiciones del contrato donde se explicaba, por un lado, la posibilidad de entregar al paquete al vecino en ausencia del destinatario y, por otro, la obligación del remitente del envío, en este caso, Media Markt, de informar debidamente al destinatario sobre el tratamiento de sus datos en el marco de los servicios que ofrece”.
«De este modo, es el propia Media Markt, como remitente del producto, el que debería haber excluido la posibilidad de la entrega a un vecino del reparto, pues UPS le informó expresamente de que en defecto de esta exclusión ello era posible», han apuntado.
Por ello, la entidad reclamada ha considerado que ha actuado de conformidad con el contrato firmado con Media Markt y que ella era la responsable del tratamiento de los datos, pues «tenía la obligación de informar que no podía proceder a la entrega a través de un vecino».
La AEPD considera que ha cedido los datos a un tercero sin consentimiento
Pero la AEPD ha considerado que UPS ha cedido los datos del reclamante a un tercero sin su consentimiento. Pues la parte reclamada ha aportado los términos y condiciones que rigen el contrato suscrito con Media Markt para alegar que ha actuado de conformidad con dicho contrato de prestación de servicios.
Sin embargo, UPS no ha acreditado que concurran los requisitos necesarios para ser considerado encargado del tratamiento. Ya que no se ha acreditado que entre ambas se haya suscrito el contrato que debe regir las relaciones entre responsable y encargado del tratamiento de datos personales según se establece en el artículo 28.3 del RGPD.
Por lo tanto, el hecho de tener firmado un contrato con MEDIA MARKT no deja exento de responsabilidad a UPS, en este caso a la empresa reclamada, porque no se ha concretado si estamos ante un contrato de servicios o bien un contrato celebrado entre responsable y encargado del tratamiento de datos personales, siendo en este segundo caso, de obligado cumplimiento que se cumplan todas las garantías exigidas de conformidad con el artículo 28 del RGPD.
Esta Agencia considera además que nos encontramos ante una vulneración del artículo 32 del RGPD, ya que las medidas de seguridad de la entidad reclamada no son adecuadas y deben ser mejoradas tras haber quedado constatado que no han sido suficientes para evitar los hechos denunciados
Por todo ello, esta Agencia considera que la entidad reclamada ha infringido los artículos 5.1 f) y 32 del RGPD, al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes. Tendrá que pagar 70.000 euros.
