Esta semana hemos conocido la sanción a una importante empresa de mensajería por depositar, ante la ausencia de este en el domicilio, un pedido en un local comercial sin el consentimiento del destinatario, exponiendo a un tercero ajeno datos identificativos, postales y de contacto del interesado al encontrarse estos impresos, tanto en la etiqueta del paquete, como en el albarán de entrega.
El reclamante señala que, a mayor abundamiento, el repartidor utilizó la aplicación de mensajería WhatsApp para exponerle dicha situación a través de un archivo de audio. En concreto, según dispone el reclamante, el repartidor manifestó lo siguiente: “te digo que el pedido te lo he dejado en la heladería que tienes abajo”.
Ante la experiencia sufrida, el interesado interpone reclamación ante la Agencia Española de Protección de Datos (en adelante, AEPD), quien traslada a su vez la misma a la empresa de mensajería con el fin de que esta, en el plazo de un mes, procediese a analizar lo ocurrido, dando cuenta, si fuera el caso, de las medidas desplegadas para adecuarse a la normativa.
Finalizado el plazo, la entidad contesta señalando que la realidad vivida no le es imputable, pues el reparto se realiza de conformidad a un contrato en materia de protección de datos. Además indican que que la etiqueta no fue confeccionada por ellos, sino por el remitente del producto, pero que, a pesar de ello, han procedido a modificar su procedimiento operativo, eliminando la posibilidad de depositar los pedidos en establecimientos comerciales abiertos al público en casos de ausencia del destinatario.
Una vez recibida respuesta, y dentro de la fase de actuaciones previas, la AEPD inicia su análisis con la descripción del contexto, aseverando que la empresa de mensajería tiene la condición de Responsable del Tratamiento, pues son ellos, y no quienes remiten el producto, los que determinan los fines y medios relativos al transporte y entrega del pedido.
Una vez clarificado dicho extremo, y al albur de lo dispuesto en el artículo 4.12 RGPD, la AEPD define lo que son las brechas de seguridad, entendiendo estas como todas aquellas que “ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
En base a esto, y con independencia de la entidad que elaboró la etiqueta, la empresa de mensajería “debería haber extremado las medidas para que el paquete no se entregara a otra persona que no fuera el destinatario del envío o alguien autorizado por él.”
Por tanto, nos encontramos ante dos infracciones:
- La primera, por quebrantar el principio de confidencialidad establecido en el artículo 5.1.f) RGPD.
- Una segunda, por la carencia de las medidas de seguridad establecidas en el artículo 32 RGPD.
Adicionalmente, se le imputan como agravantes bajo lo dispuesto en el artículo 83.2 RGPD, los siguientes hechos:
- La reiteración de la conducta a sancionar, pues hace unos meses recibieron una sanción por la misma razón.
- La naturaleza, gravedad y duración al haberle entregado información personal a un tercero no autorizado.
- La recurrencia con la que realiza el tratamiento de datos, que en este caso es continua.
Finalmente, la AEPD inicia procedimiento sancionador por infracción de los artículos 5.1.f) y 32 RGPD, imponiéndoles una multa administrativa de 140.000€, si bien a consecuencia del reconocimiento de los hechos y el pago voluntario, la misma queda reducida a 84.000€.
En definitiva, con independencia de la fase del tratamiento en el que nos encontremos, y el papel que juguemos, debemos planificar concienzudamente el ciclo de vida del dato en consonancia con los principios marco, adoptando las medidas de seguridad necesarias para salvaguardarlos.
AUTORA: Alba Sánchez de la Calle
TWITTER: https://twitter.com/AlbusAlba