¿Quién no ha tenido que recoger alguna vez un paquete que le han dejado en casa de un vecino? Pues bien, este tipo de actuaciones que, en la práctica, pueden presentarse como usuales y aparentemente inofensivas o inocuas, pueden suponer consecuencias para nuestros derechos y cuantiosas multas para determinadas empresas. Precisamente, la Agencia Española de Protección de Datos ha sancionado a UPS con 70.000 euros por dejar un paquete a un vecino sin el consentimiento del destinatario en una resolución de la que se han hecho eco muchos medios de comunicación y que ha puesto en “jaque” esta tendencia actual de modalidad de entrega.
Es evidente que las compras a distancia y el comercio electrónico han revolucionado el mercado y son utilizados cada día por más usuarios. De hecho, presenta grandes ventajas como lo es la posibilidad de recibir un paquete en menos de 24 horas. No obstante, esto es posible siempre y cuando te encuentres en tu domicilio para poder recibirlo. Pero ¿qué ocurre si no estás en casa para poder recoger el paquete? En este caso, algunas empresas cuentan con una determinada planificación previa de entrega con distintas alternativas a través de llamada o sms, pero, normalmente, se producirán las siguientes situaciones: el repartidor intentará un segundo reparto más tarde, u optará por entregar el paquete a una persona ajena. Dicho tercero puede ser desde el dependiente de una tienda hasta un vecino de la propia comunidad en la que reside, caso que se nos presenta en este artículo y que pasamos a analizar.
Los hechos se inician con la interposición, por parte del reclamante, de un escrito ante la Agencia Española de Protección de Datos (en adelante AEPD) en la se pone de manifiesto una cesión de sus datos personales a un tercero, sin su consentimiento. Concretamente, se realizó un pedido de un producto por el reclamante que fue entregado a una de las vecinas de la comunidad en la que reside, sin ningún tipo de aviso y, en consecuencia, sin contar con su consentimiento previo y explícito.
En un principio, tras el traslado de la reclamación a MEDIA MARKT SATURN ADMINISTRACIÓN ESPAÑA S.A. (en adelante, MEDIA MARKT) para realizar alegaciones y analizarse la documentación que obraba en el expediente, dicha reclamación no prosperó contra la empresa vendedora y se acordó la no admisión a trámite de la misma.
Esto no se quedó aquí y el reclamante interpuso recurso potestativo de reposición contra la empresa de mensajería al considerar que su reclamación no hacía referencia a la cesión realizada por parte de MEDIA MARKT, sino que la responsabilidad de esa acción recaía realmente en la empresa de reparto que era en este caso UPS. Asimismo, aducía un incumplimiento de la Ley 43/2010 del Servicio Postal Universal y una omisión de un ejercicio de oposición que realizó sin obtener ningún tipo de respuesta.
Por su parte, UPS, siguiendo las estipulaciones del artículo 118 de la Ley 39/2015 de 1 de octubre del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante LPACAP), no realizó alegación alguna, por lo que la AEPD estimó el recurso de reposición, admitió a trámite la reclamación interpuesta y se inició procedimiento sancionador según el artículo 63 y 64 de la mencionada ley.
En el marco de este procedimiento sancionador, UPS se autoproclama como un prestador de servicios que tiene que cumplir los servicios acordados con MEDIA MARKT bajo las condiciones previstas en el contrato que se ha suscrito entre ambas partes y que, en ese sentido, “actúa y procede según lo acordado con MEDIA MARKT, y con el objetivo de garantizar la entrega del pedido en el plazo y forma acordado con este, siempre en favor y en interés del propio denunciante”.
Con el objetivo de demostrar dichas consideraciones y evidenciar que el método de entrega se encuentra perfectamente delimitado, UPS remite a lo dispuesto en los términos y condiciones de su contrato. En concreto, a sus cláusulas 10 y 11 donde se hace referencia, fundamentalmente, a los términos relativos a la entrega y a la protección de datos que pasamos a reproducir:
- Cláusula 10, relativa a la entrega: “UPS puede entregar un envío al destinatario que figura en la Carta de Porte o a cualquier otra persona que parezca estar autorizada para aceptar la entrega del envío en nombre del destinatario (tales como personas del mismo edificio del destinatario o vecinos de éste). Si el receptor no se encuentra disponible, el paquete podrá ser depositado en el buzón de correspondencia postal del domicilio del receptor, si se considera apropiado, o entregado al vecino salvo que el remitente haya excluido esta opción de entrega mediante la elección del servicio adicional aplicable (…)”.
- Cláusula 11, relativa a la protección de datos: “Por otra parte, el remitente garantiza que ha informado debidamente al destinatario de que UPS podrá utilizar los datos personales del destinatario de acuerdo con el enlace anterior de Aviso de privacidad UPS vigente en el momento del envío respecto a usos distintos a los especificados en la anterior subsección”.
De hecho, UPS alega que, si la AEPD no admitió a trámite la reclamación inicial contra la empresa vendedora MEDIA MARKT, entiende que debería de procederse igualmente en este caso, puesto que, por su parte, “no se tiene constancia de que el envío concreto al denunciante se hubiera tenido que proceder de una forma específica o distinta a lo acordado con MEDIA MARKT”.Esto quiere decir que las cláusulas 10 y 11 anteriormente trascritas eran conocidas por MEDIA MARKT y, en consecuencia,dicha empresa había aceptado contractualmente la posibilidad de que UPS pudiera dejar los paquetes de sus destinatarios a un vecino sin ningún otro tipo de formalismo adicional.
De esta manera, UPS traslada y enfoca su argumentación colocando a MEDIA MARKT como responsable del tratamiento de los datos personales. Es decir,alegó carecer de obligación al respecto en la medida en la que las condiciones de su acuerdo deberían haber sido consideradas por la empresa vendedora del producto que, precisamente en su calidad de responsable, “tenía la obligación de informar a la entidad reclamada que no podía proceder a la entrega a través de un vecino”.
Se traen a colación para dirimir la cuestión planteada por parte de la AEPD las Directrices 07/2020 del Comité Europeo de Protección de Datos (en adelante Directrices del CEPD) sobre los conceptos de responsable y encargado de tratamiento. Partiendo de estas pautas, se comprueba que entre ambas empresas no existe un contrato de encargado del tratamiento que rija las relaciones entre las partes y que, además, UPS no había adoptado las medidas de seguridad adecuadas para evitar los hechos denunciados, incumpliendo el deber de responsabilidad proactiva del artículo 32 del Reglamento General de Protección de Datos (en adelante RGPD).
La cuestión, por tanto, no deriva de los términos y condiciones de entrega de UPS sino, más bien, de no tener firmado un contrato de encargado de tratamiento de datos personales del artículo 28.3 del RGPD donde se detallen las instrucciones precisas para el tratamiento de los datos personales dadas por el responsable. En concreto, el apartado 3 del mencionado precepto establece una serie de obligaciones que se imponen al encargado y que han sido analizadas con más profundidad en esta y otras entradas del blog. En concreto se dispone que “el tratamiento por el encargado se regirá por un contrato (…) que vincule al encargado respecto del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
- b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
- c) tomará todas las medidas necesarias de conformidad con el artículo 32”.
Es más, lo que no se ha concretado, dice expresamente la resolución, es “si estamos ante un contrato de servicios o bien un contrato celebrado entre responsable y encargado del tratamiento de los datos personales”.
Con todo lo argumentado, la AEPD finalmente sanciona a UPS por infracción del principio de integridad y confidencialidad del artículo 5.1.f) del Reglamento General de Protección de Datos (analizado ampliamente en otra entrada del blog) y del artículo 32 del mismo Reglamento por considerar que se ha producido una cesión de los datos del reclamante, sin su consentimiento, a un tercero.
La AEPD en este caso dicta una resolución escueta en cuanto al fondo del asunto. No obstante, de los términos de la disposición y de la propia normativa aducida por la autoridad de control se pueden deducir, entre otros extremos, los siguientes:
- La AEPD no entra a valorar la figura que asume cada una de las dos empresas en el caso, pero deja claro que los conceptos de encargado y responsable son funcionales y que se tienen que asignar teniendo en cuenta las actividades reales de cada uno, dando primacía en todo caso al principio de seguridad y confidencialidad.
- Es necesario que las empresas intervinientes precisen unos términos y condiciones adecuados, así como con un acto jurídico vinculante en materia de protección de datos que cumpla con las Directrices del CEPD.
- Partiendo de estas Directrices, el responsable del tratamiento debe adoptar la decisión final de aprobar el modo y medios esenciales en que se efectuará el tratamiento, pero nada impide que el encargado del tratamiento ofrezca un servicio previamente definido y adecuado, al menos respecto a cuestiones no esenciales.
- Se parte de la no presunción del principio de buena fe en las relaciones de vecindad y, por ende, se abre la puerta a la posible obtención, de cara a un futuro, del consentimiento del destinatario del envío para la recogida del paquete por un tercero. El problema podrá producirse cuando haya de determinarse quién tiene la carga de la prueba sobre la obtención de dicho consentimiento en un proceso en el que interviene el destinatario, la empresa vendedora, la empresa de mensajería y un tercero ajeno.
- Pese a lo anterior, podría pensarse que tales relaciones de vecindad tienen cabida en el artículo 2.2.c) del RGPD donde se dispone que “el presente Reglamento no se aplica al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”, ajenas a cualquier tipo de actividad profesional o comercial como es el caso en cuestión.
- La resolución también invoca la Ley 43/2010 de Servicio Postal Universal. En concreto, el artículo 24 de dicha ley dispone la forma en que han de realizarse los envíos. En su apartado 1 se proclama que “los envíos, según el tipo de que se trate, se entregarán al destinatario o a la persona que este autorice…”. Su apartado 2 establece que “se entenderá autorizado por el destinatario para recibir los envíos en su domicilio cualquier persona que se encuentre en el mismo, haga constar su identidad y se haga cargo de ellos, excepto que haya oposición expresa del destinatario por escrito dirigida al operador designado que presta el servicio postal universal”. Esto implica la aceptación por parte de esta ley de un consentimiento tácito, contrario al consentimiento explícito que impone la normativa de protección de datos personales.
Para responder a todas estas cuestiones será necesario esperar a las futuras indicaciones de las autoridades judiciales y de control, así como de los propios usos sociales que irán pautando, poco a poco, las conductas más adecuadas y deseables.
Lo que está claro es que esta práctica tan comúnmente aceptada por los usuarios y empresas de dejar los paquetes a terceros en las compras on line, tiene un gran impacto en el derecho a la protección de los datos personales dado que, su incumplimiento, puede acarrear graves sanciones. Además, estas conductas sugieren la necesidad de estandarizar un procedimiento de entrega del producto donde se delimiten las responsabilidades y obligaciones de las empresas en el proceso de compra y de los propios ciudadanos que, como posibles destinatarios de los paquetes, seremos ahora parte de la cadena de suministro.