¿Pueden los transportistas entregar mi paquete a un vecino?

Estas fechas del año suelen venir caracterizadas por la consecución de muchos y muy seguidos periodos de compras masivas. En noviembre nos topamos con el Black Friday (que ya para muchas tiendas ha dejado de ser solamente el cuarto viernes de noviembre, extendiéndose hasta el domingo o incluso a toda esa semana), seguido de las compras navideñas para finalmente culminar con las rebajas de enero.

Sin embargo, el ritmo de la vida cotidiana y la complejidad para compaginar nuestros horarios con las largas colas que acompañan todos estas épocas de compras, han originado que las empresas fomenten el comercio electrónico y con ello dar a los usuarios la facilidad de poder comprar casi cualquier cosa desde múltiples dispositivos y sin necesidad de salir de casa.

El problema viene cuando, al llegar dichos pedidos, el transportista se encuentra con que el destinatario no está en el domicilio. Se ha extendido la práctica entre las distintas empresas de reparto de dejar el paquete a algún vecino de tu bloque o local de las inmediaciones sin que tú como destinatario hayas otorgado previamente tu consentimiento para ello.

¿Qué ha sucedido en el supuesto resuelto por la AEPD?

El usuario que interpuso la reclamación había realizado un pedido a la empresa MediaMarkt, indicando su domicilio como dirección de entrega. Sin embargo, el transportista de UPS que tenía encomendado el reparto de su paquete, al no encontrarse el reclamante en su vivienda, decidió realizar la entrega a una vecina de su edificio. No obstante, el usuario, cuyos datos personales figuraban en la etiqueta de reparto, no había dado su consentimiento para que un tercero ajeno a todo el proceso de compra y entrega fuera el receptor del paquete en caso de que el no estuviese en su domicilio.

Según UPS, la responsabilidad de garantizar la seguridad adecuada en el tratamiento de datos personales recaería en la empresa vendedora y no en la empresa transportista, y ello en virtud del contrato suscrito entre ambas. Así, refiere UPS que MediaMarkt conocía y consentía que en ausencia del destinatario los paquetes se pudieran dejar en atención de un vecino, y que así había sido estipulado y acordado por ambas entidades.

Sin embargo, la Agencia Española de Protección de Datos (AEPD) ha aclarado que el hecho de que la empresa de mensajería tenga un contrato firmado con la empresa remitente no exime a la primera de sus obligaciones en materia de protección de datos ya que “[…] no se ha concretado si estamos ante un contrato de servicios o bien un contrato celebrado entre responsable y encargado del tratamiento de datos personales".

¿Cuales son las infracciones cometidas?

La primera de las infracciones por las que la AEPD sanciona a UPS consiste en la vulneración del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD) que determina la obligación de garantizar una seguridad adecuada de los datos personales, estableciendo expresamente “[…] la protección contra el tratamiento no autorizado o ilícito.”

Además, la AEPD ha sancionado a UPS por violar el precepto contemplado en el artículo 32 del RGPD al no garantizar la confidencialidad y la integridad de los sistemas y servicios de tratamiento, estableciendo un nivel de seguridad inadecuado habida cuenta de los riesgos que presentaba el tratamiento de datos realizado por la empresa transportista.

En consecuencia, la AEPD ha considerado que UPS no ha aplicado las medidas técnicas u organizativas apropiadas para garantizar que, durante el tratamiento de datos personales en sus funciones de reparto, no se produjera algún tratamiento no consentido de los mismos, procediendo a la entrega de los paquetes en los cuales figuraba la etiqueta con el nombre completo y la dirección del destinatario a una tercera persona no autorizada.

¿Cómo actuar si la empresa de repartos entrega mi paquete a un tercero?

La falta de diligencia en el tratamiento de datos personales ha derivado en la imposición de una sanción a la empresa UPS de 70.000 euros por las dos infracciones mencionadas.

Esperamos que esta resolución de la AEPD tenga un efecto claramente disuasorio tanto para UPS en el futuro como para el resto de empresas transportistas que hasta el momento han venido llevando a cabo prácticas similares a la sancionada (dejando el paquete en el buzón o en el felpudo sin supervisión dejando expuestos los datos personales del destinatario o incluso entregándolo a una tercera persona no autorizada).

No obstante, tal y como hemos expuesto al inicio de este artículo se avecinan fechas de muchas compras online y, por consiguiente, de las consecuentes entregas. En caso de que una empresa de transporte entregue nuestro paquete a un vecino o al local de abajo, lo deje en la puerta de casa o lo entregue de cualquier forma no autorizada en que puedan verse expuestos a terceras personas nuestros datos personales, es importante interponer una reclamación ante la AEPD para que analice el supuesto concreto y, en su caso, incoe expediente sancionador contra la empresa que ha vulnerado el RGPD y, en especial, las medidas de seguridad y protección exigidas por el mismo.

__________

Gabriela Camayd es abogada y miembro del equipo jurídico de FACUA.