La Agencia Española de Protección de Datos (AEPD) ha sancionado con 140.000 euros a la empresa de transporte GLS tras cambiar sin consentimiento de los compradores el lugar de entrega de dos dispositivos móviles, lo que provocó que lo recogiesen otras personas usurpándoles la identidad. Ha infringido el artículo 6 del Reglamento General de Protección de Datos.
No es la primera vez que una empresa de mensajería se enfrenta a sanciones de la AEPD. UPS fue multada en dos ocasiones de forma reciente con un total de 210.000 euros por entregar paquetes a personas que no eran las destinatarias.
En el caso que nos ocupa, todo comenzó cuando el 8 de diciembre de 2021 y el 14 de marzo de 2022 dos personas interpusieron una reclamación ante la AEPD contra GLS.
Los compradores especificaron que querían los móviles en casa
Ambos habían comprado un teléfono móvil en la tienda Xfera, pero decidieron que, en vez de llevárselos en ese momento, se los enviasen a casa.
Sin embargo, nunca llegaron al domicilio porque alguien acudió a la sede de GLS haciéndose pasar por los propietarios para recoger ese paquete a pesar de que ellos habían recalcado que querían que se los entregasen en casa.
A la hora de recogerlos en la sede, uno de los presuntos usurpadores de identidad entregó una documentación extranjera aparentemente falsa y, al otro, sólo se le pidió el DNI. Los afectados entendieron que GLS no había custodiado su información de forma adecuada.
Es decir, se modificaron las condiciones del contrato cambiando el tipo de entrega sin consentimiento ni ninguna otra causa de legitimación que permitiese su tratamiento.
GLS explicó que sus sistemas permitían la realización de cambios en el lugar de la entrega por parte del destinatario a través de la web introduciendo el número de identificación del envío y el código postal, de modo que manifestaron que nunca les habían enviado ninguna comunicación.
GLS veía imposible que la usurpación de identidad fuese un fallo en sus sistemas
Asimismo, consideraron imposible que esa usurpación de la personalidad se debiese a un fallo en la seguridad de sus sistemas. Apuntaron que ellos trabajaban también con otra empresa que tenían contratada, que era Interbox, y que era la encargada de recibir los pedidos electrónicos.
Pero para la AEPD, la entrega en el domicilio del destinatario suponía una garantía adicional de que esa posibilidad no se produjese. Factor que fue el que facilitó que se entregasen a personas que no correspondían.
Así las cosas, llegaron a la conclusión de que la empresa de paquetería modificó las condiciones del contrato sin contar con su consentimiento, lo que supone una infracción del artículo 6 del RGPD. Por cada cliente afectado se ha impuesto una multa de 70.000, lo que hace una suma de 140.000.
GLS puede recurrir la sanción ante la Sala de lo Contencioso de la Audiencia Nacional.
