72.000 euros de sanción para la empresa de reparto que entregó el paquete a «uno que pasó por el portal»

La empresa Fourth Party Logistics ha pagado una sanción de 72.000 euros por no garantizar un tratamiento adecuado de los datos personales en sus funciones de reparto. El procedimiento se inició con la reclamación de una usuaria porque habían entregado un paquete a una persona equivocada, poniendo en riesgo los datos del usuario al que le debía llegar el producto.

La reclamante esperaba un paquete de Carrefour. El repartidor le avisó al llegar a su casa y, al no encontrarse en su domicilio en ese momento, el destinatario le pidió que se lo dejase a uno de sus vecinos con el que tenía relación, al que identificó por el número de portal. Cuando veinte minutos después llega a la vivienda del vecino indicado, este le responde que no le han dejado ningún paquete. Según su versión, cuando llama al transportista, le contesta que “se lo ha dado a un chico con gorra que pasó por el portal y que le dijo que era él”. La empresa de transporte, por su parte, según la reclamación, le instó a que buscase el paquete entre sus vecinos. Esta persona lamenta que, además de perder el contenido del paquete, sus datos personales (nombre, apellidos, DNI, número de teléfono e incluso datos bancarios que se encontrasen en la factura) han quedado expuestos y a disposición de la persona que ha recogido el paquete.

Aunque la reclamación se dirige inicialmente contra la empresa Envialia, estos señalan que tienen un contrato de reparto con Fourth Party Logistic, que a su vez lo deja en manos de una subdivisión, Fourth Party Services. La entrega, sin embargo la realizó, una cuarta parte implicada, The Bee Logistic. Estos aseguran que “el mensajero, entregó el paquete al vecino indicado, lo que ocurre es que la demandante indica que se llama B.B.B. y el paquete se entrega a C.C.C, quien lo recoge y proporciona su DNI”. No obstante, desde Fourth Party reclamaron a su colaboradora que “tomara medidas reactivas y preventivas”. Entre estas dos últimas empresas existía un contrato verbal.

Fachada del edificio de la Agencia Española de Protección de Datos (Foto: AEPD)

La Agencia Española de Protección de Datos señala que, en este caso, Fourth Party es la encargada de protección de datos y The bee Logistic es la subencargada; los datos proceden de Carrefour, que sería el responsable. En este sentido, el responsable es quien decide el “por qué” y el “cómo” relativo a los datos personales y el encargado es quien se encarga de llevar a cabo el tratamiento a cargo del responsable. El responsable de protección debe elegir a un encargado que garantice el correcto tratamiento de los datos personales y garantizará que “las personas autorizadas para su tratamiento se comprometan a la confidencialidad o estén sometidas a una obligación de confidencialidad de naturaleza estatutaria”. El RGPD señala que “la relación que vincule al responsable del tratamiento y al encargado, o a éste y a otro encargado, deberá formalizarse por escrito, inclusive en formato electrónico. En ambos casos deberán imponerse al encargado o “subencargado” las mismas obligaciones a que se refiere el apartado 3 del artículo 28”.

Si bien existe un contrato entre Carrefour y Fourth Party, que se adecúa a lo establecido por la norma, no sucede lo mismo entre este y la empresa con la que tenía un contrato verbal, que fue, a fin de cuentas, la encargada de entregar el paquete desaparecido y, por tanto, quien gestionó los datos personales. «Analizada la relación de los distintos intervinientes, es evidente que las subcontrataciones no se ajustan a lo dispuesto en la normativa de protección de datos vigente, debido a la falta de formalización de contratos o actos jurídicos, así como la falta de autorizaciones previas a sus formalizaciones», señala la AEPD.

Así, por incumplir dos apartados del artículo 28 del Reglamento General de Protección de Datos, la Administración propuso dos sanciones iniciales que sumaban 120.000 euros. Sin embargo, la empresa se benefició de dos reducciones acumulables del 20%, por reconocer su responsabilidad y efectuar el pago con prontitud. De esa forma, la mercantil ha pagado 72.000 euros y el procedimiento se ha dado por concluido.