Resumen de los antecedentes del caso
A fecha del 9 de marzo de 2021 se da entrada ante la Agencia Española de Protección de Datos (AEPD) el escrito de reclamación, por el que se alegan cedidos los datos personales del reclamante a un tercero, sin otorgar él su consentimiento expreso.
La AEPD, el 7 de junio de 2021, dicta resolución por la que se acuerda la no admisión a trámite de la reclamación presentada.
Ante esta situación, el reclamante procede a interponer un recurso potestativo de reposición en la que muestra su disconformidad con la resolución. En ella indica que no hace referencia a la cesión de los datos realizada por MEDIA MARKT, sino que la responsabilidad de esa acción recae en la empresa de reparto.
Expone que su pedido fue entregado a una de las vecinas de la comunidad en la que reside, sin previo aviso y, por tanto, sin contar con su consentimiento previo y expreso, incumpliendo, además, la Ley 43/2010 del Servicio Postal Universal. Asimismo, aduce que ejercitó el derecho de oposición, sin obtener respuesta alguna.
Se estima el recurso potestativo de reposición
La Directora de la Agencia Española de Protección de Datos, resuelve:
- Estimar el recurso de reposición interpuesto contra la resolución de esta Agencia dictada en fecha 7 de junio de 2021.
- Admitir a trámite la reclamación formulada contra UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC, de conformidad con el artículo 65 de la LOPDGDD [TOL6.933.570].
Alegación de UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑIA SRC (UPS)
Notificado el citado acuerdo de inicio del Procedimiento Administrativo, la parte reclamada presentó escrito de alegaciones en el que, en síntesis, manifestaba que en el caso que nos ocupa es un prestador de servicios que tiene cumplir los servicios acordados con MEDIA MARKT bajo las condiciones previstas en el contrato suscrito entre ambos. Y en este sentido, indica que se procedió según lo acordado con la empresa MEDIA MARKT.
De esta forma, se remiten a los puntos 10 y 11 de los términos y condiciones del contrato que las rige. Por un lado, recoge la posibilidad de entrega del paquete al vecino en ausencia del destinatario. Por el otro lado, la obligación del remitente del envío (MEDIA MARKT) de informar debidamente al destinatario sobre el tratamiento de sus datos en el marco de los servicios que ofrece la entidad reclamada.
De este modo, es la propia MEDIA MARKT, como remitente del producto, la que debería haber excluido la posibilidad de la entrega a un vecino del reparto, pues UPS le informó expresamente de que en defecto de esta exclusión ello era posible.
Por lo que la entidad reclamada considera que ha actuado de conformidad con el contrato firmado con MEDIA MARKT. De tal forma que MEDIA MARKT sería responsable del tratamiento de los datos y quien debía informar a la entidad de reparto de que no podía proceder a la entrega a través de un vecino.
Asimismo, alegan que, si la Agencia acordó no admitir a trámite la reclamación contra MEDIA MARKT, tampoco hay razón para que si lo haga contra la entidad reclamada.
Fundamentos de derecho
En el caso concreto, la parte reclamada ha alegado que actuó de conformidad con el contrato firmado con la empresa MEDIA MARTK, según el cual debe ser MEDIA MARKT quien solicite el consentimiento de su cliente cuando este solicite el servicio de entrega del producto por mensajería.
«Sin embargo, UPS no ha acreditado que concurran los requisitos necesarios para ser considerado encargado del tratamiento, pues no se ha acreditado que entre MEDIA MARK y UPS se haya suscrito el contrato que debe regir las relaciones entre responsable y encargado del tratamiento de datos personales según se establece en el artículo 28.3 del RGPD donde se detallan las instrucciones precisas para el tratamiento de datos personales dadas por el responsable» apunta la AEPD.
En este sentido, señala la resolución el artículo 28.3 b) y c) del RGPD, respecto de los encargados del tratamiento de datos personales. Por lo que se deduce que el «hecho de tener firmado un contrato con MEDIA MARKT no deja exento de responsabilidad a UPS (…) porque no se ha concretado si estamos ante un contrato de servicios o bien un contrato celebrado entre responsable y encargado del tratamiento de datos personales, siendo en este segundo caso, de obligado cumplimiento que se cumplan todas las garantías exigidas de conformidad con el artículo 28 del RGPD».
Vulneración de una seguridad adecuada de los datos personales
Se declaran los hechos conocidos como infracción imputable a la empresa reclamada por vulneración del precepto 5.1 f) del RGPD [TOL5.703.078]:
Los datos personales serán:
(…)
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Asimismo, se considera vulnerado de igual modo el artículo 32 del RGPD. La Agencia indica remarca que las medidas de seguridad de la entidad reclamada no son adecuadas y deben ser mejoradas tras haber quedado constatado que no han sido suficientes para evitar los hechos denunciados.
Resolución adoptada por la Agencia Española de Protección de Datos
Por todo ello, la Agencia considera que la entidad reclamada ha infringido los artículos 5.1 f) y 32 del RGPD, al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes.
Le impone sanción de dos multas:
- La primera por valor de 50.000 euros por infracción del artículo 5.1.f) del RGPD.
- La segunda por valor de 20.00 euros por una infracción del artículo 32 del RGPD.
Contra la resolución cabe recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución.
De igual forma se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo.
Otras noticias de interés:
- El Tribunal Supremo anula varios acuerdos de Bodegas Vega Sicilia por abuso de derecho
- TJUE | Si el propio consumidor se opone, el juez nacional no puede sustituir una cláusula abusiva por una disposición de Derecho Nacional de carácter supletorio