Por Alberto Llana
Hoy día es cada vez más común hacer las compras a través de la red (compras online, que se dice). Y cuando se lleva a cabo, por lo general te traen lo adquirido hasta tu casa a través de una empresa dedicada a la distribución de paquetería, aunque haya determinadas empresas que dispongan de su propia red de distribución. Seguramente a algunos les ha ocurrido o han escuchado a otra persona a la que le ha pasado lo siguiente: la empresa que les tiene que entregar el paquete se lo deja a un vecino, normalmente por ausencia de quien lo debe recoger, sin que haya un consentimiento expreso para actuar de esta manera por parte de la persona interesada. Pues bien, un caso así ha sido analizado recientemente por la Agencia Española de Protección de Datos (AEPD, en adelante), imponiendo a la empresa distribuidora dos cuantiosas multas por vulnerar el Reglamento General de Protección de Datos (RGPD).-
Estima la AEPD que la empresa distribuidora ha cedido los datos de quien debe recibir el pedido a una tercera persona sin su consentimiento porque «Según las Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y encargado en el RGPD, los conceptos de encargado y responsable son funcionales y se tienen que asignar teniendo en cuenta las actividades reales de cada uno. Hay que analizar en cada caso la relación jurídica establecida entre las partes.
En este caso concreto, la parte reclamada ha aportado los términos y condiciones que rigen el contrato suscrito con (la empresa vendedora) para alegar que ha actuado de conformidad con dicho contrato de prestación de servicios, según el cual debe ser (la empresa vendedora) quien solicite el consentimiento de su cliente cuando este solicite el servicio de entrega del producto por mensajería. Sin embargo (la empresa distribuidora) no ha acreditado que concurran los requisitos necesarios para ser considerado encargado del tratamiento, pues no se ha acreditado que entre (ambas empresas) se haya suscrito el contrato que debe regir las relaciones entre responsable y encargado del tratamiento de datos personales según se establece en el artículo 28.3 del RGPD donde se detallan las instrucciones precisas para el tratamiento de datos personales dadas por el responsable.
En este sentido señalar que el artículo 28.3 b) y c) del RGPD, respecto de los encargados del tratamiento de datos personales establece lo siguiente:
“El tratamiento por el encargado se regirá por un contrato (…) que vincule al encargado respecto del responsable.
Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
c) tomará todas las medidas necesarias de conformidad con el artículo 32”;
Por lo tanto, el hecho de tener firmado un contrato con (la empresa vendedora) no deja exento de responsabilidad a (la empresa distribuidora), en este caso a la empresa reclamada, porque no se ha concretado si estamos ante un contrato de servicios o bien un contrato celebrado entre responsable y encargado del tratamiento de datos personales, siendo en este segundo caso, de obligado cumplimiento que se cumplan todas las garantías exigidas de conformidad con el artículo 28 del RGPD.
Así las cosas, los hechos conocidos son constitutivos de una infracción, imputable a la parte reclamada, por vulneración del precepto 5.1 f) del RGPD (…)
Esta Agencia considera además que nos encontramos ante una vulneración del artículo 32 del RGPD, ya que las medidas de seguridad de la entidad reclamada no son adecuadas y deben ser mejoradas tras haber quedado constatado que no han sido suficientes para evitar los hechos denunciados.
Por todo ello, esta Agencia considera que la entidad reclamada ha infringido los artículos 5.1 f) y 32 del RGPD, al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes».-
Comments