La multa de 70.000 € por entregar un paquete a un vecino alerta a las empresas de reparto

A las puertas de la Navidad, expertos en privacidad cuestionan que realmente se haya generado una brecha de seguridad

La entrega por parte de un repartidor de paquetería de un envío a un tercero que no sea el destinatario supone dos infracciones graves, según una reciente resolución de la Agencia Española de Protección de Datos. En concreto, ha sancionado a UPS con una multa de 70.000 euros por entregar un paquete a un vecino del destinatario.

Esta sanción tan controvertida que aún puede ser recurrida ante la propia AEPD y posteriormente en la Audiencia Nacional en caso de confirmarse, puede hacer cambiar el modus operandi de las empresas de reparto a domicilio.

Por el momento, UPS, según explican a Economist & Jurist, estudian la resolución y no han decidido si recurrirán o pagarán la multa, con lo cual si lo hacen por pronto pago tendrían un descuento del 20%.

Los expertos consultados por esta publicación creen que esta sanción de la AEPD es desproporcionada y a un mes largo de Navidad, donde se entregan miles de paquetes en domicilios y oficinas no siempre al destinatario, podría abrir un frente litigioso importante.

El efecto de esta sanción puede suponer que todas las empresas del sector cambien su procedimiento de cara a terceros en cuanto a la entrega de estos paquetes. En estos casos se crearían centros de recogida por donde se pasaría el propio cliente destinatario del envío.

Sanción que no es de protección de datos

Para José Leandro Núñez, socio de la boutique legal Audens y miembro de la junta directiva de ENATIC, “imponer dos sanciones por un único hecho que están relacionadas entre sí, desde el punto de vista del derecho administrativo, no me parece correcto: estaríamos ante un concurso medial de infracciones”.

Sobre este principio que viene reflejado en el art. 29 de la Ley 40/2015 el jurista indica que “si para cometer una infracción administrativa tienes que cometer otra más leve, las dos se fusionan y la Administración solo podría sancionar por una de ellas, que es la más grave”.

Entregar un paquete a un vecino del destinatario.

José Leandro Núñez. (Foto: Audens)

“La resolución de la AEPD indica que ha habido una brecha de confidencialidad que, según el regulador, se produce porque no había unas medidas de seguridad suficientes; e impone dos multas, una por la confidencialidad y otra por las medidas de seguridad”, anuncia Núñez.

Para este jurista “la propia resolución refleja que se ha producido un concurso medial, al concluir que la vulneración de la confidencialidad ocurre porque no hay medidas de seguridad suficientes. Por tanto, la AEPD solo debería haber sancionado por la infracción más grave, ya que una acción es causa de la otra. Solo esto supondría reducir la multa en 20.000 euros”.

«Los datos que supuestamente se vulneran relacionados con la confidencialidad están en el buzón de esa vivienda»

A partir de ahí, este experto en privacidad opina que “estamos hablando de una sanción muy dura por una cuestión que no tiene que ver con protección de datos, sino con la ley postal universal. Tampoco se aprecia mala fe”, puntualiza.

A su juicio, “los datos que supuestamente se vulneran relacionados con la confidencialidad están en el buzón de esa vivienda. Los vecinos pueden saber fácilmente quién vive en cada piso: basta bajar al vestíbulo y leer los buzones. No hay vulneración real de la confidencialidad, porque la persona que recibe ese paquete ya sabe quién es esa persona destinataria y conoce su dirección. Por eso, la sanción me parece desproporcionada”.

Desde su punto de vista, “dejar un paquete por ausencia del destinatario en otro vecino no es una infracción de protección de datos”.

En este tipo de casos cree que “hubiera bastado con un apercibimiento porque realmente el daño que se produce para los derechos y libertades de los afectados es mínimo. Otra cuestión es que el vecino se hubiera quedado con el paquete, entonces podríamos hablar de apropiación indebida o incumplimiento de la ley de servicio postal universal”.

En cuanto a la repercusión de esta sanción, “esta resolución abre un escenario nuevo que podría incrementar la litigiosidad en este tipo de supuestos, especialmente si el destinatario no recibe su pedido. Creo que aquí la AEPD se excede en sus competencias, y me preocupa que genere un «efecto llamada» que contribuya a colapsar todavía más esta institución. En mi opinión, la normativa de protección de datos no está para esto”.

Por último, este jurista cree que “puede abrir un negocio impensado a las empresas de buzones inteligentes. De esa forma, en muchas viviendas pueden aparecer este tipo de buzones para que se dejen esos productos que se reparten a domicilio. De esa forma se recogen los productos y se evitarían esas multas a las empresas de reparto a domicilio”, vislumbra.

No hay infracción clara

Por su parte, Xavier Ribas, socio de Ribas y Asociados, recuerda que nos enfrentamos aquí ante “situaciones habituales de portería y recepciones donde se reciben paquetes y que el frente que se abre es peligroso. No creo que en este caso concreto exista infracción en materia de protección de datos, porque tampoco hay mala fe al respecto”, coincide con su compañero.

Desde su punto de vista, este tipo de resoluciones de la AEPD no aparecen bien fundamentadas. “Vemos que en muchas de ellas no está atinando. Creo que este asunto es recurrible ante la Audiencia Nacional que pudiera poner un poco de cordura en este caso concreto”.

Entregar un paquete a un vecino del destinatario.

Xavier Ribas. (Foto: Ribas y Asociados)

Para este jurista existen tres niveles de confidencialidad en este asunto. En primer lugar, el nivel 1 referido a los datos del destinatario que aparecen en el paquete. “Son datos de contacto que incorpora cualquier carta, paquete o postal. Su divulgación a personas de la propia comunidad de vecinos no supone una violación de la confidencialidad, ya que cada vecino forma parte de una figura asociativa en la que se accede constantemente a estos datos”, comenta.

En la misma línea, Ribas reconoce que, “por ejemplo, en las actas de las juntas de vecinos, en los presupuestos de la comunidad, en las derramas basadas en coeficientes de superficie”, aparecen tales datos.

A su juicio, “es absolutamente desproporcionado considerar este hecho como una violación de la confidencialidad que genera riesgos para los derechos y libertades del interesado. No hay realmente infracción”.

Ribas apoya este argumento en el hecho de que “esta resolución entra en contradicción con cientos de resoluciones de archivo de una brecha de seguridad en las que la AEPD ha considerado que no se había producido un riesgo para el interesado al haberse limitado la divulgación a los datos de contacto”.

«¿Qué habría hecho el destinatario del paquete en el caso de coincidir en el rellano con el vecino en el momento de la entrega?»

Este jurista habla del nivel 2: la información adicional de la parte exterior del paquete y peso del paquete. “Esta información únicamente aporta el atributo de que el destinatario ha adquirido un producto más o menos pesado en MediaMarkt. No es información relevante ni confidencial”.

También indica que “el vecino no puede saber qué producto ha comprado”. Es decir, “equivaldría a ver al vecino saliendo de una tienda física de MediaMarkt con una bolsa o un paquete. O incluso sería similar a la coincidencia de una entrada o salida del domicilio por parte del vecino en el momento de la entrega del paquete”, ejemplifica.

“¿Qué habría hecho el destinatario del paquete en el caso de coincidir en el rellano con el vecino en el momento de la entrega? ¿Ocultar el paquete? ¿Ocultar al repartidor?”, se pregunta Ribas.

Por último, habla de un nivel 3 donde se incluiría el contenido del paquete. “Ese contenido del paquete es confidencial y está protegido por el secreto de la correspondencia. Hay una excepción que consiste en los productos que tienen un envoltorio robusto. En estos casos se acostumbra a informar al cliente de la posibilidad de que el paquete del producto no se incorpore en otro paquete de la tienda, por lo que terceras personas podrán conocer el contenido del envío. Esta es una práctica muy habitual en Amazon”, subraya. “En tal caso, el cliente conoce la advertencia y puede requerir un envoltorio que oculte el contenido del envío o dejar la caja descubierta”, concluye Ribas.

Una sanción desproporcionada

Para Xavier Saula, socio de Auris Advocats, la resolución aquí comentada de la AEPD aborda dos conceptos sumamente interesantes. En primer lugar, “es muy interesante ver como se califica el hecho infractor en sí. La posibilidad de los servicios de mensajería y entrega a domicilio de entregar los paquetes o correspondencia a una persona que no es el destinatario, sin disponer de una autorización expresa por parte del afectado”.

Este jurista recuerda que es una práctica extendida que, en términos generales, “nos beneficia a todos, aunque es evidente que no está exenta de riesgo en determinados supuestos. En la mayoría de los casos, el mensajero desconoce la relación o la confianza que hay entre la persona que recoge el paquete y el destinatario, ni tampoco el nivel de proteccionismo de su intimidad que tiene el destinatario del envío”.

Entregar un paquete a un vecino del destinatario.

Xavier Saula. (Foto: Auris Advocats)

Para este experto, “cuando no se dispone del consentimiento del receptor directo, la entrega a cualquier otra persona que parezca estar autorizada (tales como vecinos), tal como se describe en los Términos y Condiciones de UPS, puede ser, a entender de esta parte, una práctica arriesgada”.

A su modo de ver, “desde el punto de vista del denunciante, podemos entender ajustada a derecho la decisión de la AEPD considerar que se ha producido una infracción del RGPD”. Es decir, “un envío puede contener información personal más allá de los datos de entrega, pues el origen y/o forma del paquete pueden revelar información. Por ello, podría producirse un tratamiento de datos no autorizado cuando no se ha obtenido el consentimiento expreso para entregar ese paquete a ese tercero determinado”, destaca.

El socio de Auris Advocats cree que este tipo de asuntos puede cambiar el modo de trabajo de las empresas de mensajería “obligándolas a establecer mecanismos para garantizar que se autoriza la entrega a una persona determinada”. También cree que “implicará que se pueda identificar a la persona que se va a entregar, porque una autorización genérica, como la que tiene ahora UPS, podría suponer fácilmente un acceso no autorizado a los datos, por lo que entendemos no es acorde a derecho”.

«Aun cuando creemos que se califica bien la infracción, la cuantía de la sanción la consideramos desproporcionada»

En segundo lugar, Saula señala que “la resolución es sumamente interesante al abordar el alcance de la responsabilidad cuando quién comete la infracción es una empresa subcontratada, en este caso, la empresa de mensajería”.

En su opinión, “los argumentos de UPS (que en este caso sí les vemos recorrido, aunque con muchas dudas) vienen a defender la ausencia de responsabilidad porque son, a grandes rasgos, Encargados de Tratamiento, que siguen las instrucciones del Responsable (MediaMarkt)”.

También recuerda que “en sus términos y condiciones, aceptados por el Responsable, UPS especifica la posibilidad de entregar el paquete a cualquier persona que parezca estar autorizada. Si bien ya hemos dado nuestra opinión sobre esta cláusula genérica, es cierto que MediaMarkt la aceptó. Y es cierto que, de ser UPS un Encargado de Tratamiento, MediaMarkt debe imponer el deber de confidencialidad debido y, además, obtener el consentimiento del destinatario”.

“La AEPD resuelve en base a la inadecuación del contrato que rige entre las partes, al no cumplir con las especificaciones del art. 28.3 del RGPD. No se puede determinar si existe un Encargo de Tratamiento o un simple contrato de prestación de servicios”, aclara este jurista.

A su juicio, “la resolución no aclara si hubiera habido ausencia total de responsabilidad para UPS en caso de que el contrato fuera impecable, y no hubiera duda de que UPS actúa como Encargado de Tratamiento”.

“Recordemos que la STS de 15 de febrero de 2022 establece que el Encargado de Tratamiento debe también adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos. Hubiera sido interesante ver qué nivel de responsabilidad se le atribuía al Encargado en este caso”, comenta Saula.

Asimismo, el experto apunta que “el contrato de Encargado de Tratamiento debe cumplir a rajatabla lo establecido en la normativa, porque en caso contrario no se puede definir como tal y los límites de la responsabilidad pueden quedar difusos. Se puede apreciar en la resolución de la AEPD que este es el motivo clave por el que se imputa responsabilidad a UPS y no a MediaMarkt”.

Por último, sobre UPS cree que puede defender que es incuestionable la existencia de una relación de «Encargo de Tratamiento», al margen de lo establecido en el contrato, debiendo primar para su interpretación la realidad del servicio que se presta, por encima del texto literal de mismo”. igualmente, “también podría alegar que el contenido del contrato de Encargo de Tratamiento (y por ende el nivel de protección) debía imponerlo MediaMarkt como responsable de los datos, y no ellos, que son la empresa a quién se delega el tratamiento”, concluye este jurista.

Fuente: https://www.economistjurist.es/