En más de una ocasión hemos realizado una compra por internet y cuando llegamos a casa vemos como el paquete se lo han dejado al vecino que nos lo acerca.
Por esta práctica habitual, la Agencia Española de Protección de Datos ha impuesto una sanción de 70.000 euros a United Parcel Service España (UPS) por incumplimiento de los artículo 4.1.f) y 32 del Reglamento General de Protección de Datos.
El denunciante realizó una compra on line a Media Markt que fue entregada a un vecino de la comunidad sin que mediara aviso previo por lo que no contaba con su consentimiento informado, previo y expreso.
Interpuesta denuncia, la AEPD requirió a UPS para que presentara las alegaciones acompañada de los documentos y justificantes en que basar la legalidad de su actuación. Aquella alegó que da servicios de envío de paquetería a Media Markt, S.L.U. de acuerdo al contrato firmado entre ambas sociedades.
Entre las alegaciones formuladas se indica que la empresa «actúa y procede según lo acordado con Media Markt, S.L.U, y con el objetivo de garantizar la entrega y el pedido en el plazo y forma acordado con la empresa, siempre a favor y en interés del propio denunciante”.
Como documentación acompañando a las alegaciones presentó dos cláusulas establecidas en los términos y condiciones del contrato. En una, se indica la posibilidad de entregar el paquete al vecino en para el caso de ausencia del destinatario y en la otra, la obligación del remitente, Media Markt, S.L.U., de informar al destinatario sobre el tratamientos de sus datos personales.
Continúan sus alegaciones: «De este modo, es el propia Media Markt, como remitente del producto, el que debería haber excluido la posibilidad de la entrega a un vecino del reparto, pues UPS le informó expresamente de que en defecto de esta exclusión ello era posible».
Por todo lo anterior, UPS entiendo que su actuación ha sido conforme al contrato firmado y que Media Markt, S.L.U es la Responsable del tratamiento sobre quien pesa «la obligación de informar que no podía proceder a la entrega a través de un vecino».
En la resolución del Procedimiento Sancionador, la AEPD considera que UPS ha cedido, sin consentimiento, los datos personales del denunciante a un tercero. Pues la parte reclamada ha aportado los términos y condiciones que rigen el contrato suscrito con Media Markt para alegar que ha actuado de conformidad con dicho contrato de prestación de servicios.
En opinión de la AEPD, UPS no acredita cumplir los requisitos para tener la condición de encargado del tratamiento. Ello porque por que no se ha probado la existencia de la firma de un contrato de encargo del tratamiento o acceso a datos por cuenta de terceros en los términos establecidos en el artículo 28.3 del RGPD.
La existencia del contrato firmado con Media Markt, S.L.U. no exime de responsabilidad a UPS porque no se ha podido establecer si nos encontramos ante un contrato de servicios o ante un contrato entre el Responsable del tratamiento y el Encargado del tratamiento porque de tratarse de este segundo supuesto es obligatorio el estricto cumplimiento del artículo 28 del RGPD.
A más, la Resolución de la AEPD entiende que se ha incumplido el artículo 32 del RGPD por cuanto las medidas de UPS no son adecuadas y deben ser mejoradas al quedar probado que no han sido suficientes para evitar los hechos denunciados.
Por todo ello, esta Agencia considera que la entidad reclamada ha infringido los artículos 5.1 f) y 32 del RGPD, al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes. Tendrá que pagar 70.000 euros.