18/06/23
Por Manuel del Palacio
Delegado de Protección de Datos de CEEES
Comenzamos con este artículo una colaboración regular con la Confederación Española de Empresarios de Estaciones de Servicio, cuya finalidad es compartir mi saber hacer y opinión respecto de una actividad profesional que llevo ejercitando desde hace más de 20 años: la protección de datos.
La semana pasada se llenaban los medios de comunicación de artículos, columnas de opinión y otros recursos periodísticos para informarnos de que a UPS (United Parcel Service España LTD y Compañía, SRC) le habían sancionado con 140.000 euros por la acumulación de dos actuaciones contrarias a la normativa de protección de datos vigente, en la misma acción.
| Multa de 140.000 euros por dejar un paquete en “la heladería de abajo” sin permiso
Seguro de que toda aquella persona que haya leído esta noticia ha tomado posición. Antes de pasar a detallar qué ocurrió y el porqué de la sanción, permítanme recordar los conceptos de “derecho” y “justicia”, tan parecidos, incluso en muchas ocasiones utilizados como sinónimos, y a la vez tan distintos, dependiendo del lado de la mesa en la que estemos en cada caso de análisis.
Pasemos, pues, a ver lo ocurrido y sus consecuencias.
UPS, realizando su actividad, se encuentra en la situación de tener que entregar un paquete en un domicilio en el que, en el momento de la entrega, no hay nadie que pueda recogerlo. El repartidor, suponiendo su mejor intención, deja el mismo en un local comercial a pie del portal donde se encuentra el piso del destinatario, enviando un mensaje al mismo indicándole que ha dejado el paquete en dicho establecimiento.
Esta acción no resulta del agrado de quien tenía que recibir el parquete, quien ejerce su derecho de reclamación ante nuestra autoridad de control, la Agencia Española de Protección de Datos, por incumplimiento de mantener en la esfera de la privacidad sus datos personales.
La consecuencia de esta acción es una sanción a UPS de 140.000 euros por dos infracciones: Una por tratar los datos personales detallados en la etiqueta del paquete y la otra por no incorporar a los procedimientos de la empresa las medidas de seguridad adecuadas. Recordemos que, en protección de datos, cuando decimos “tratar” estamos identificando cualquier acción que se haga con un dato personal.
Llegados aquí, una gran parte de los lectores habrán concluido lo que es opinión generalizada, que no es otra que las sanciones de la AEPD son de cuantía sustanciosa.
Cuando el repartidor deja el paquete en un destino diferente al que aparece en la etiqueta permite que terceras personas conozcan datos que no deben conocer, ya que la persona a quien corresponden no ha dado autorización para que esto ocurra. Esto es una infracción respecto de la normativa de protección de datos.
La otra consiste en no haber incorporado las medidas técnicas y organizativas necesarias para que esta situación no se diera.
Recordemos que cuando los datos personales estén afectados, la protección de los mismos es un derecho constitucional y, aunque en ocasiones no se valore, es un derecho personalísimo y, por ello, no se debe relajar su cumplimiento.
En el caso que nos ocupa, es necesario tener en consideración la reincidencia. Es entendible que UPS es una gran empresa, con muchas personas trabajando, directa e indirectamente, con muchas acciones de reparto diarias. Pero ello no debe ser óbice para el cumplimiento de la normativa. Y, de incumplir reiteradamente, la sanción será mayor por existir esta situación como agravante a la hora de cifrar la misma.
Visto de esta manera, es posible que ahora ya no sea tan descabellada esa sanción. Más aún, si cada uno de nosotros piensa que los datos que se hicieron públicos fueran los suyos.
Indicar, para terminar, que la empresa asumió su fallo, situación que le permitió, junto con el pronto pago de la sanción reducir el importe a pagar, dejándolo en 84.000 euros.
Quien quiera conocer este expediente concreto puede acceder al mismo pinchando aquí.
Permítanme concluir con una frase que me gusta decir como sugerencia permanente en mi trabajo: ”Cumple por convencimiento. Si no, hazlo porque es tu obligación.”
(Si tienes dudas acerca de cómo debes tratar los datos personales que manejas en tu estación de servicio ponte en contacto con Manuel pinchando aquí. Disfrutarás de condiciones especiales por ser socio de CEEES.).
