La empresa de transporte UPS sólo ha tardado 7 meses en volver a tropezar con la misma piedra en la Agencia Española de Protección de Datos (AEPD).
En noviembre de 2022 fue sancionada con 70.000 euros por entregar un paquete a un vecino sin consentimiento del cliente. Y ahora, 210 días después, ha sido castigado con 140.000 euros por los mismos hechos pero con otro usuario. Aunque finalmente sólo abonará 84.000 por reconocer los hechos y pagar de forma voluntaria en el plazo estipulado.
Según recoge la reciente resolución de la AEPD, el propietario del paquete se molestó porque el repartidor de la empresa decidió dejar su pedido en un local comercial de helados en vez de en su domicilio a pesar de que no tenía la autorización pertinente para ello.
Además, el afectado relató que tanto sus datos postales como el número de teléfono habían quedado expuestos a terceras personas porque el paquete tenía pegada una etiqueta con tal información.
EL REPARTIDOR LE ENVIÓ UN AUDIO POR WHATSAPP
Se dio cuenta del lugar en el que se encontraba su paquete porque el repartidor le envió un audio a través de WhatsApp . En él le indicaba que su paquete de 200 gramos de peso se encontraba “en la heladería de abajo”. Dicho audio fue entregado a la AEPD como prueba de sus acusaciones.
La AEPD dio un plazo de un mes a UPS para que pudiese analizar la reclamación e informar de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
Manifestaron que la etiqueta en la que se recogían tales datos personales no era confeccionada por ellos, sino por el remitente del producto. No obstante, hicieron saber a la AEPD que habían tomado medidas para que la situación no volviese a repetirse.
UPS concretó que había modificado sus procedimientos operativos para aclarar de forma específica el reparto en establecimientos comerciales abiertos al público, en caso de ausencia del destinatario de su domicilio. Sin embargo, la AEPD consideró que la actuación de la empresa de reparto provocó que datos personales quedasen expuestos a personas ajenas.
Los alegatos de UPS no convencieron a la AEPD ya que, por el mero hecho de que la etiqueta tenía datos personales como el nombre, apellidos, dirección y teléfono, «precisamente UPS debería haber extremado las medidas para que el paquete no se entregara a otra persona que no fuera el destinatario de envío o una persona autorizada por él”, dice la resolución.
Por lo que «ha quedado constatado que UPS no disponía de las medidas adecuadas». La AEPD consideró que era merecedor de recibir una sanción por infringir dos artículos del Reglamento General de Protección de Datos (RGPD UE 679/2016).
SE LE APLICA LA AGRAVANTE DE REINCIDENCIA
El primero de los artículos infringidos establece que los datos personales serán tratados de tal manera que garanticen una seguridad adecuada. Y, en este caso, quedó acreditado que su información personal había sido indebidamente expuesta a un tercero, vulnerándose el principio de confidencialidad. Además, en este punto se consideró como agravante el hecho de que UPS fuese reincidente, por lo que se le sancionó con 100.000 euros.
El otro artículo infringido hace referencia a la seguridad del tratamiento de los datos al no disponer de las medidas necesarias para no entregar un paquete a una persona que no corresponde. Por esta irregularidad, se impuso una sanción de 40.000 euros.
Finalmente, UPS consiguió reducir la multa reconociendo su responsabilidad y realizando el pago voluntario en el plazo estipulado, por lo que ha abonado una cantidad de 84.000 euros.
Fuente: Confilegal