La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 70.000€ a la empresa de mensajería UPS por entregar un pedido, realizado por Internet a la empresa MEDIA MARKT, a un vecino del destinatario sin autorización de éste, tras la denuncia del mismo al entender que con dicha acción se habían cedido sus datos personales a un tercero sin su consentimiento con ocasión de dicha entrega en marzo de 2021.
Para la AEPD, esta práctica que sucede a diario en España, vulnera los Arts. 5.1.f) y 32 del Reglamento General de Protección de Datos (RGPD) «al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes«, imponiendo una multa de 50.000€ por la primera violación y otra de 20.000€ por la segunda.
La denuncia original se dirigió contra MEDIA MARKT empero la AEPD considera que UPS es la responsable de garantizar la protección de los datos del cliente y todo ello a pesar de que en el contrato de transporte de paquetería que une a ambas empresas, UPS especifica que «si el receptor no se encuentra disponible, el paquete podrá ser depositado en el buzón de correspondencia postal del domicilio del receptor, si se considera apropiado, o entregado al vecino salvo que el remitente haya excluido esta opción de entrega mediante la elección del servicio adicional aplicable» cuando, en el caso analizado, MEDIA MARKT nunca notificó nada en tal sentido a UPS.
El asunto va a traer cola porque la AEPD pasa por encima de los contratos suscritos entre UPS y MEDIA MARKT y de la exclusión prevista en los mismos y no activada en el caso analizado para sancionar directamente a UPS al entender que el transportista no puede proporcionar los datos personales a un tercero.
Trataremos de seguir la evolución de un caso que va a cambiar las reglas del mercado de la paquetería y que pronto estará ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.