Lliurar un paquet a qui no toca surt molt car: 70.000 euros de multa

14/11/2023

L’AEPD ha imposat dues multes (50.000 + 20.000 euros) a una empresa de transports per una bretxa de seguretat en lliurar un paquet a una persona diferent de la destinatària.

S’explica a la resolució que la part denunciant va rebre una trucada d’un empleat d’una empresa de paqueteria per al lliurament d’un paquet i en no ser el destinatari en aquell moment a casa, la part denunciant li va indicar al missatger que deixés el mateix a casa del veí del 1r esquerra, anomenat B.B.B.

Tot i això el seu veí li va dir que no ha rebut cap paquet, davant del qual va trucar al missatger, que li va explicar que en entrar al portal de l’immoble on es troba l’habitatge de la part reclamant, una persona li va dir que era ell l’encarregat de recollir el paquet i li van donar sense més ni més.

En el present cas, consta que les dades personals de la part reclamant, nom i cognoms, així com el domicili postal, van ser indegudament exposades a un tercer com a conseqüència de la recepció de l’enviament del que aquella era destinatària, sent l’empresa de transport de paqueteria la responsable del lliurament del paquet.

L’empresa responsable de lliurar el paquet a la part reclamant el va lliurar a una tercera persona sense el seu consentiment.

L’article 4 apartat 12 del RGPD defineix, d’una manera àmplia, les “violacions de seguretat de les dades personals” (d’ara endavant bretxa de seguretat) com:

“… totes aquelles violacions de la seguretat que ocasionin la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o accés no autoritzats a aquestes dades…”.

En aquest cas, consta una bretxa de seguretat de dades personals en les circumstàncies a dalt indicades, categoritzada com una bretxa de confidencialitat ja que les dades personals de la part reclamant (com ara nom i cognoms, domicili postal) van ser exposades a un tercer, en recepcionar un enviament del que era destinatària.

En una empresa de transport de mercaderies són molts els empleats que estan en contacte amb la informació que maneja l’empresa, per això l’empresa té la responsabilitat d’informar a aquests empleats les funcions i responsabilitats en l’ús d’aquesta informació, a més de garantir el compliment de la llei de protecció de dades.

Es declara la infracció de dos articles:

  1. L’article 5.1.f) “Principis relatius al tractament” del RGPD que estableix que:
    “ … Les dades personals seran tractades de tal manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades («integritat i confidencialitat») …”.
  2. Larticle 32 sobre la seguretat del tractament.

El Tribunal Suprem enten que hi ha imprudència sempre que es desatén un deure legal de cura, és a dir, quan l’infractor no es comporta amb la diligència exigible.

En la valoració del grau de diligència s’ha de ponderar especialment la professionalitat o no del subjecte, i no hi ha dubte que, en el cas ara examinat, quan l’activitat de la recurrent és de maneig constant de dades de caràcter personal i abundant insistir-se en el rigor i la cura exquisida per ajustar-se a les prevencions legals sobre això.

El lliurament d’un enviament a una tercera persona diferent de la prèviament no concertada amb el destinatari evidencia la manca de mesures de seguretat tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc en el tractament de les dades personals dels destinataris dels enviaments.

Aquí la a resolució

Ramon Arnó Torrades
Ceo de La Família Digital