La AEPD ha impuesto dos multas (50.000 + 20.000 euros) a una empresa de transportes por una brecha de seguridad al entregar un paquete a una persona distinta a la destinataria.

Se explica en la resolución que la parte denunciante recibió una llamada de un empleado de una empresa de paquetería para la entrega de un paquete y al no estar el destinatario en ese momento en casa, la parte denunciante le indicó al mensajero que dejara el mismo en casa del vecino del 1º izquierda, llamado B.B.B.

Sin embargo su vecino le dijo que no ha recibido ningún paquete, ante lo cual llamó al mensajero, que le explicó que al entrar en el portal del inmueble donde se encuentra la vivienda de la parte reclamante, una persona le dijo que era él el encargado de recoger el paquete y se lo dieron sin más.

En el presente caso, consta que los datos personales de la parte reclamante, nombre y apellidos, así como el domicilio postal, fueron indebidamente expuestos a un tercero como consecuencia de la recepción del envío del que aquella era destinataria, siendo la empresa de transporte de paquetería la responsable de la entrega del paquete.

La empresa responsable de entregar el paquete a la parte reclamante lo entregó a una tercera persona sin el consentimiento de aquella.

El artículo 4 apartado 12 del RGPD define, de un modo amplio, las “violaciones de seguridad de los datos personales” (en adelante brecha de seguridad) como:

“ … todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos …”.

En el presente caso, consta una brecha de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una brecha de confidencialidad por cuanto los datos personales de la parte reclamante (tales como nombre y apellidos, domicilio postal) fueron expuestos a un tercero, al recepcionar un envío del que era destinataria.

En una empresa de transporte de mercancías son muchos los empleados que están en contacto con la información que maneja la empresa, por lo que la empresa tiene la responsabilidad de informar a estos empleados las funciones y responsabilidades en el uso de esta información, además de garantizar el cumplimiento de la ley de protección de datos.

Se declara la infracción de dos artículos:

1. El artículo 5.1.f) “Principios relativos al tratamiento” del RGPD que establece que:
   “ … Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad») …”.
2. El artículo 32 sobre la seguridad del tratamiento.

El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible.

En la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto.

La entrega de un envío a una tercera persona diferente a la previamente no concertada con el destinatario evidencia la falta de medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo en el tratamiento de los datos personales de los destinatarios de los envíos.

Aquí a resolución

Ramon Arnó Torrades
Ceo de La Familia Digital