Dejar el paquete a un vecino sin recabar antes el permiso de su destinatario puede salir muy caro al transportista
La mayoría de las empresas que presta servicios a través de internet, cuenta con una empresa externa para el reparto de sus pedidos.
Se trata de una práctica muy común entre los repartidores que cuando no hay nadie en el domicilio para la entrega del pedido al destinatario, llamen por teléfono al destinatario para acordar la entrega a un vecino.
Si bien es cierto que, aunque se trate de una práctica habitual, este tipo de actuaciones llevan consigo unas consecuencias legales que deben ser contempladas tanto por la empresa como por su prestador de servicios en sus labores de entrega de pedidos.
¿Cuál es el objeto de la sanción impuesta por la AEPD?
Partimos de la reclamación iniciada por el destinatario del pedido, cuyo objeto es la cesión de sus datos personales a un tercero, sin su consentimiento.
Siguiendo los mecanismos previos de admisión a tramite de las reclamaciones que se formulan ante la AEPD, ésta acordó la no admisión a trámite de la reclamación, reservándose el reclamante su derecho a interponer recurso potestativo de reposición, contra la resolución recaída en el expediente, mostrando éste su disconformidad con la resolución impugnada.
La causa por la que la AEPD no admitió la reclamación es por considerar que la reclamación iniciada no hace referencia a la cesión realizada por parte de MEDIA MARKT (como prestadora del servicio a través de internet) sino que la responsabilidad de esa acción recae en la empresa de reparto (UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC). Ya que, el pedido fue entregado a una de las vecinas de la comunidad en la que reside el reclamante, sin previo aviso y por tanto, sin contar con su consentimiento previo y expreso, incumpliendo, la Ley 43/2010 del Servicio Postal Universal.
Ante estos hechos, y ante la acción del reclamante, la AEPD consideró oportuno estimar el recurso de reposición interpuesto por el reclamante y admitir la reclamación formulada a UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC, de conformidad con el artículo 65 de la LOPDGDD, siendo conocedor de esto la empresa de reparto, alegó que las condiciones generales de su servicio de reparto contemplan la posibilidad de que “Si el receptor no se encuentra disponible, el paquete podrá ser depositado en el buzón de correspondencia postal del domicilio del receptor, si se considera apropiado, o entregado al vecino esta posibilidad”. Recalcando que debe ser MediaMarkt quien indique que el cliente no quiere que el paquete se entregue a otra persona que no sea el mismo, tal y como contemplan sus términos de servicio.
¿Qué entiende la AEPD respecto a la responsabilidad del tratamiento de dichos datos?
Según lo establecido por el Comité Europeo de Protección de Datos (CEPD) respecto a la figura de responsable y encargado del tratamiento en el RGPD, los conceptos de encargado y responsable se tienen que asignar teniendo en cuenta las actividades reales de cada uno. Hay que analizar en cada caso la relación jurídica establecida entre las partes. En este caso concreto, la parte reclamada ha aportado los términos y condiciones que rigen el contrato suscrito con MEDIA MARKT para alegar que ha actuado de conformidad con dicho contrato de prestación de servicios, entendiendo que debe ser MEDIA MARKT quien solicite el consentimiento de su cliente cuando este solicite el servicio de entrega del producto por mensajería.
Sin embargo, la empresa de transporte (UPS) no ha acreditado que concurran los requisitos necesarios para ser considerado encargado del tratamiento, pues no se ha acreditado que entre MEDIA MARK y UPS se haya suscrito el contrato que debe regir las relaciones entre responsable y encargado de tratamiento, existiendo hasta la fecha un contrato para regular las condiciones de la prestación del servicio y no el tratamiento de datos personales realizado.
De esta manera, la AEPD entiende que al entregar los datos personales que figuran en el paquete, se identifica una persona concreta y al entregar ese paquete a una persona no autorizada como es un vecino, se está vulnerando la confidencialidad y seguridad de los datos.
¿Cuáles son las infracciones contempladas en esta reclamación?.
Los hechos conocidos como constitutivos de infracción imputable a la parte reclamada son los siguientes:
– Vulneración del precepto 5.1 f) del RGPD, por no utilizar medidas técnicas u organizativas apropiadas («integridad y confidencialidad»), comunicando los datos al vecino.
– Vulneración del artículo 32 del RGPD, ya que las medidas de seguridad de la entidad reclamada no son adecuadas y deben ser mejoradas tras haber quedado constatado que no han sido suficientes para evitar los hechos denunciados.
Por todo ello y tal y como considera la AEPD en su resolución, es importante que las compañías de transportes garanticen la seguridad en el tratamiento de los datos y exijan previamente a la entrega del pedido, el consentimiento de los usuarios para que en los casos de que la entrega no pueda realizarse en sus domicilios, se pueda realizar entregando dicho pedido a un vecino. Para ello, resulta imprescindible la redacción de una cláusula que exprese de manera sencilla y legible por el usuario la posibilidad de que esta práctica pueda llevarse a cabo.
Si tienes dudas relativas al correcto uso de los datos personales de tu organización, contacta con nosotros y nuestro equipo podrá asesorarte para el correcto cumplimiento.
