La Agencia Española de Protección de Datos (AEPD) ha sancionado con 140.000 euros a la empresa de transporte GLS tras modificar, sin consentimiento de los compradores, el lugar de entrega de dos dispositivos móviles, lo que provocó que los recogiesen otras personas usurpándoles la identidad. Ha infringido el artículo 6 del Reglamento General de Protección de Datos.
No es la primera vez que una empresa de mensajería se enfrenta a sanciones de la AEPD. UPS fue multada en dos ocasiones de forma reciente con un total de 210.000 euros por entregar paquetes a personas que no eran las destinatarias.
En el caso que nos ocupa, todo comenzó cuando el 8 de diciembre de 2021 y el 14 de marzo de 2022 dos personas interpusieron una reclamación ante la AEPD contra GLS.
Ambos habían comprado un teléfono móvil en la tienda Xfera, pero decidieron que, en vez de llevárselos en ese momento, se los enviasen a casa.
Sin embargo, nunca llegaron al domicilio porque alguien acudió a la sede de GLS haciéndose pasar por los propietarios para recoger ese paquete a pesar de que ellos habían recalcado que querían que se los entregasen en casa.
A la hora de recogerlos en la sede, uno de los presuntos suplantadores de identidad entregó una documentación extranjera aparentemente falsa y, al otro, sólo se le pidió el DNI. Los afectados entendieron que GLS no había custodiado su información de forma adecuada.
Es decir, se modificaron las condiciones del contrato cambiando el tipo de entrega sin consentimiento ni ninguna otra causa de legitimación que permitiese su tratamiento.
GLS explicó que sus sistemas permitían la realización de cambios en el lugar de la entrega por parte del destinatario a través de la web introduciendo el número de identificación del envío y el código postal, de modo que manifestaron que nunca les habían enviado ninguna comunicación.
Asimismo, consideraron imposible que esa suplantación de identidad se debiese a un fallo en la seguridad de sus sistemas. Apuntaron que ellos trabajaban también con otra empresa que tenían contratada, que era Interbox, y que era la encargada de recibir los pedidos electrónicos.
Para la AEPD, la entrega en el domicilio del destinatario suponía una garantía adicional de que esa posibilidad no se produjese. El hecho de que no se entregase el pedido en el domicilio fue el factor que facilitó que se entregasen los móviles a personas que no correspondían.
Así las cosas, llegaron a la conclusión de que la empresa de paquetería modificó las condiciones del contrato sin contar con su consentimiento, lo que supone una infracción del artículo 6 del RGPD. Por cada cliente afectado se ha impuesto una multa de 70.000, lo que hace una suma de 140.000 euros.
Fuente: Confilegal