La empresa de paquetería UPS recibió el pasado 3 de noviembre una multa de 70,000 euro por haber entregado un paquete a un vecino al no encontrarse el destinatario en su domicilio.

Aunque se trata de una práctica habitual, el destinatario del paquete consideró que se habían vulnerado su derecho a la protección de datos y puso los hechos en conocimiento de la Agencia Española de Protección de Datos. Para el demandante, era claro que se habían compartido sus datos personales con una tercera persona sin su consentimiento y sin ningún tipo de advertencia previa.

UPS se defendió alegando que la práctica de dejar los paquetes a un vecino en caso de no encontrarse en el domicilio es habitual y está muy extendida en el sector de la paquetería. Además, sostenía que este tipo de solución figuraba en el contrato de servicio que había suscrito con la empresa que habían enviado el paquete, MediaMarkt, y que, por tanto, la responsabilidad sería de esta en calidad de responsable de tratamiento. Según UPS, tendría que haber sido MediaMarkt la que hubiese informado y solicitado el consentimiento del destinatario antes de enviar el paquete como parte de los términos y condiciones de la compra.

UPS continuaba diciendo que también habría sido responsabilidad de MediaMarkt informarles a ellos de que no podían utilizar esta práctica en sus envíos.

Por todo ello, UPS considera que no se le puede exigir responsabilidad.

Sin embargo, la AEPD dictaminó que fue UPS la que compartió los datos con un tercero sin haber recabado el consentimiento debido y que la responsabilidad recae exclusivamente sobre ellos al no quedar probado en su relación contractual su carácter de encargado de tratamiento que les hubiesen eximido de responsabilidad.

Teniendo esto en cuenta, la agencia acordó imponer una multa de 50,000 euros por una infracción del principio de integridad y confidencialidad (5.1.f RGPD) y otra de 20,000 por otra infracción relativa a la seguridad en el tratamiento de datos personales (32 RGPD).