La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 70.000 euros a la empresa de mensajería United Parcel Service (UPS) por entregar un pedido realizado a un vecino del destinatario sin su autorización.
La Agencia estima en su resolución que se han vulnerado el precepto 5.1 f) y el artículo 32 del Reglamento General de Protección de Datos (RGPD) “al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes”, según recoge la resolución.
Por el primero impone a UPS una multa de 50.000 euros, mientras que por el segundo una de 20.000 euros.
Los hechos se remontan a marzo de 2021, cuando la persona realizó una compra por internet a Media Markt. Aunque el usuario reclamó inicialmente a Media Markt, la AEPD considera que es UPS la responsable de garantizar la protección de los datos del cliente.
“Técnicamente sí puede considerarse que se ha quebrado el principio de confidencialidad impuesto en la normativa de protección de datos. El responsable del tratamiento -la empresa de mensajería- ha facilitado datos personales -los que aparecieran en el paquete del destinatario- a un tercero no autorizado -el vecino al que le dejan el paquete-“, afirma Samuel Parra, abogado experto en derecho digital de Murcia.
“Dicha circunstancia sucedió por unas deficientes medidas de seguridad organizativas, por lo que también se podría considerar que ha existido una brecha de seguridad”, agrega el letrado que reconoce que se plantean dudas jurídicas respecto de si procedía sancionar a la empresa de mensajería dos veces.
“Considero que el aparato punitivo del Estado debe desplegarse con cautela y solo en aquellos casos debidamente justificados por su afectación al derecho de los ciudadanos. En este caso creo que la conducta de la empresa de mensajería no merece la sanción impuesta y, en todo caso, se debería haber aplicado la figura del apercibimiento que contempla la normativa , que aun siendo una sanción, no es de carácter económico”, añade Parra.
Para Ignacio Suárez, abogado experto en Protección de Datos, Derecho Internet y Nuevas Tecnologías, “hubiera sido más acertado un aviso en caso de que se haya producido una cesión de datos, ya que es posible que lo que haya es una infracción del deber de secreto de la Ley del Servicio Postal Universal”.