El pasado 3 noviembre, la Agencia Española de Protección de Datos (en adelante, “AEPD”), publicó el pasado 3 de noviembre, una resolución por la cual, interpone una sanción a la empresa UPS de 70.000€, por dejar un paquete al vecino del destinatario sin contar con el consentimiento de este.
En este caso, el pedido realizado por el reclamante fue entregado a una de las vecinas de la comunidad en la que reside, sin previo aviso y por tanto, sin contar con su consentimiento previo y expreso. Por todo ello, la AEPD considera que la parte reclamada (UPS), ha cedido los datos del reclamante a un tercero sin contar con su consentimiento.
En su defensa, UPS alegó que debía ser Media Markt quien recabara el consentimiento; pero tal y como cita la AEPD, UPS no ha acreditado que concurran los requisitos necesarios para ser considerado encargado, ya que no existe contrato encargado de tratamiento entre las partes, que cumpla con los requisitos del artículo 28.3 del Reglamento General de Protección de Datos (en adelante, “RGPD”). Por todo ello, la AEPD considera vulnerado el artículo 5.1 f del RGPD; el principio de integridad y confidencialidad.
Por otro lado, la AEPD, considera que se ha vulnerado el artículo 32, ya que las medidas de seguridad “no son adecuadas y deben ser mejoradas tras quedar contratados que no han sido suficientes para evitar los hechos denunciados”.
En base a lo indicado, la AEPD impone a UPS una sanción pecuniaria de:
-50.000 euros, por infracción del artículo 5.1 f del RGPD.
-20.000 euros por infracción del artículo 32 del RGPD.