El pedido fue efectuado a una empresa de electrodomésticos y tecnología, pero la compañía encargada de efectuar el reparto, al estar el destinatario ausente, lo entregó a una de sus vecinas, sin haber avisado previamente y, por tanto, sin poseer el consentimiento previo y expreso.
Por ello, la Agencia Española de Protección de Datos ha sancionado a la empresa de reparto con dos multas, una de 50.000 euros y otra de 20.000 euros ya que la entrega supone la cesión de los datos personales del reclamante a un tercero sin su consentimiento, contraviniendo los arts. 5.1 f) y 32 del RGPD, al haber vulnerado el principio de integridad y confidencialidad y no haber adoptado las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal del cliente.
En su defensa la empresa de paquetería argumentó que, como proveedor de servicios, tiene la obligación de cumplir el acuerdo suscrito con el vendedor, donde se incluye la capacidad de entregar paquetes a los vecinos en ausencia del destinatario y que el remitente está obligado a informar oportunamente al destinatario sobre el tratamiento de sus datos en el marco de los servicios prestados por la entidad requerida.
Pese a ello, la Agencia explica que la empresa de mensajería ha cedido los datos personales del destinatario a un tercero sin su consentimiento y aun actuando conforme al acuerdo firmado con el vendedor no se debilita la infracción.
Y concluye que la empresa de reparto no está exenta de responsabilidad aun teniendo un contrato firmado con la vendedora ya que no se especifica si se trata de un contrato de servicios o un contrato celebrado entre responsable y encargado del tratamiento de datos personales, siendo en este segundo caso de obligado cumplimiento todas las garantías exigidas conforme al art. 28 RGPD.
Por todo ello la AGDP reconoce que los hechos probados, atribuibles a la empresa de reparto, constituyen una infracción del art 5.1 f) del Reglamento General de Protección de Datos al quebrantar el principio de integridad y confidencialidad y, además, vulneran también el art. 32 del mismo Reglamento al no adoptar las medidas necesarias para garantizar la protección de los datos de carácter personal de sus clientes, ya que las medidas realizadas no son apropiadas y tienen que ser corregidas para evitar los hechos denunciados.
Para finalizar, en lo referente a las sanciones, impone una multa de 50.000€ por la infracción del art. 5.1 f) del RGPD, considerada como muy grave, y otra de 20.000€ por contravenir el art. 32, considerado como grave. En ambos casos se aplica como agravante la vinculación del responsable con el tratamiento de datos personales.