La empresa de transporte UPS sólo ha tardado 7 meses en volver a tropezar con la misma piedra en la Agencia Española de Protección de Datos (AEPD).
En noviembre de 2022 fue sancionada con 70.000 euros por entregar un paquete a un vecino sin consentimiento del cliente. Y ahora, 210 días después, ha sido castigado con 140.000 euros por los mismos hechos pero con otro usuario. Aunque finalmente sólo abonará 84.000 por reconocer los hechos y pagar de forma voluntaria en el plazo estipulado.
Según recoge la reciente resolución de la AEPD consultada por Confilegal, el propietario del paquete se molestó porque el repartidor de la empresa decidió dejar su pedido en un local comercial de helados en vez de en su domicilio a pesar de que no tenía la autorización pertinente para ello.
Además, el afectado relató que tanto sus datos postales como el número de teléfono habían quedado expuestos a terceras personas porque el paquete tenía pegado una etiqueta con tal información.
El repartidor le mandó un audio para decirle que su paquete estaba en la heladería
Se dio cuenta del lugar en el que se encontraba su paquete porque el repartidor le envió un audio a través de WhatsApp . En él le indicaba que su bulto de 200 gramos de peso se encontraba “en la heladería de abajo”. Dicho audio fue entregado a la AEPD como prueba de sus acusaciones.
La AEPD dio un plazo de un mes a UPS para que pudiese analizar la reclamación e informar de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
Manifestaron que la etiqueta en la que se recogían tales datos personales no era confeccionada por ellos, sino por el remitente del producto. No obstante, hicieron saber a la AEPD que habían tomado medidas para que la situación no volviese a repetirse.
UPS concretó que había modificado sus procedimientos operativos para aclarar de forma específica el reparto de establecimientos comerciales abiertos al público en caso de ausencia del destinatario de su domicilio. Sin embargo, la AEPD consideró que la actuación de la empresa de reparto provocó que datos personales quedasen expuestos a personas ajenas.
Alegatos que no convencieron a la AEPD ya que, por el mero hecho de que la etiqueta tenía datos personales como el nombre, apellidos, dirección y teléfono, «precisamente UPS debería haber extremado las medidas para que el paquete no se entregara a otra persona que no fuera el destinatario de envío o una persona autorizada por él”, dice la reclamación.
Por lo que de todo lo anterior «ha quedado constatado que UPS no disponía de las medidas adecuadas». La AEPD consideró que era merecedor de recibir una sanción por infringir dos artículos del Reglamento General de Protección de Datos (RGPD).
Se le aplica el agravante de reincidente
El primero, el 5.1.f, el cual establece que los datos personales serán tratados de tal manera que garanticen una seguridad adecuada. Y, en este caso, quedó probado que su información personal había sido indebidamente expuesta a un tercero vulnerando el principio de confidencialidad.
Además, en este punto se consideró como agravante el hecho de que UPS fuese reincidente. Por lo que por infringir este artículo se le sancionó con 100.000 euros.
El otro artículo que infringió fue el 32. Hace referencia a la seguridad del tratamiento de los datos al no disponer de las medidas necesarias para no entregar un paquete a una persona que no corresponde. Por esta irregularidad fue sancionado con 40.000 euros.
La AEPD dio dos opciones a UPS para reducir la multa: reconocer su responsabilidad y realizar el pago voluntario en el plazo estipulado. Finalmente decidieron acogerse a esta rebaja y finalmente han abonado una cantidad de 84.000 euros.
Dicha multa no es firme y puede ser recurrida ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
En Facebook, otros usuarios manifiestan haber sufrido el mismo problema
