Multa de 140.000 euros a una empresa de mensajería por dejar los paquetes a los vecinos
La Agencia Española de Protección de Datos considera que se ha vulnerado el principio de integridad y confidencialidad al quedar expuestos a otras personas los datos personales del destinatario
«El paquete te lo he dejado en la heladería que tienes abajo«. Así rezaba el mensaje de whatsapp que le hacía llegar el repartidor ... de una empresa de mensajería al cliente que no se encontraba en casa. Un mensaje escueto que le ha salido muy caro. Y es que la Agencia Española de Protección de Datos (AEPD) ha multado con 140.000 euros a la empresa de mensajería United Parcel Service of America, Inc (UPS) por dejar un paquete en un local comercial ubicado en los bajos del edificio en el que reside el destinatario sin estar autorizado para ello.
La multa llega por la presencia en la caja del paquete de una copia del albarán de envío, en el que estaban incluidos el nombre completo, el teléfono y la dirección de la persona que debía recibirlo. La AEPD considera que exponer esta información a terceros supone dos infracciones de las leyes de protección de datos al haberlos expuesto a un tercero sin relación con ella. El primero por vulnerar la confidencialidad de los datos personales del cliente, considerado «muy grave» y castigado con 100.000 euros de multa. La segunda infracción grave y sancionada con 40.000 euros es por reincidencia, ya que a finales del pasado año hizo una entrega en las mismas circunstancia y se había comprometido a poner en marcha un protocolo para no incurrir en el mismo error, algo que no ha pasado.
Una empresa reincidente
En aquel momento era la primera vez que la AEPD imponía una multa por esta costumbre más habitual de lo que sería deseable. Concretamente, sancionó con 70.000 euros a la empresa UPS por entregar dos pedidos de MediaMarkt a un vecino del comprador sin su consentimiento.
La AEPD consideró que dar un paquete a un desconocido (que alguien sea vecino no quiere decir que se mantengan relaciones de confianza) como hizo el repartido de UPS infringía los artículos 5.1 f) y 32 del Reglamento General de Protección de Datos (RGPD) al «violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes».
Según declaró UPS, la empresa «actúa y procede según lo acordado con Media Markt y con el objetivo de garantizar la entrega y el pedido en el plazo y forma acordado con la empresa, siempre a favor y en interés del propio denunciante». Como prueba, presentó dos cláusulas que se encontraban en las condiciones del contrato donde se explicaba, por un lado, la posibilidad de entregar al paquete al vecino en ausencia del destinatario y, por otro, la obligación del remitente del envío, en este caso, Media Markt, de informar al destinatario sobre el tratamiento de sus datos en el marco de los servicios que ofrece».
«De este modo, es el propia Media Markt, como remitente del producto, el que debería haber excluido la posibilidad de la entrega a un vecino del reparto, pues UPS le informó expresamente de que en defecto de esta exclusión ello era posible», apuntaron.
Por ello, UPS consideró que actuó de conformidad con el contrato firmado con Media Markt y que ella era la responsable del tratamiento de los datos, pues «tenía la obligación de informar que no podía proceder a la entrega a través de un vecino».
Pero la AEPD entendió que UPS cedió los datos del reclamante a un tercero sin su consentimiento y el hecho de tener firmado un contrato con Media Markt no exime a UPS de responsabilidad.
¿Tienes una suscripción? Inicia sesión
