En el Expediente N.o: PS/00280/2022 (1) de la AEPD se plantea un caso cuando menos peculiar, no sólo por su repercusión práctica sino por el enfoque adoptado por el regulador para resolverlo.
Básicamente, en el mismo se resuelve la reclamación presentada por el adquirente a través de internet de un producto, cuyo pedido fue entregado por una empresa de reparto a una de las vecinas de la comunidad en la que reside, sin previo aviso y por tanto, sin contar con su consentimiento previo y expreso. La Agencia considera, por una parte que la parte reclamada (la empresa de reparto), ha cedido los datos del reclamante a un tercero, sin su consentimiento. Además, la Agencia considera que la entidad reclamada ha infringido los artículos 5.1 f) (LA LEY 6637/2016) y 32 del RGPD (LA LEY 6637/2016), al violar el principio de integridad y confidencialidad, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes.
En el comercio electrónico el modelo de entrega del producto suele basarse en servicios contratados a una empresa especializada en mensajería. Muy pocas compañías, generalmente supermercados, poseen una logística propia. Obviamente y para ello, se requieren los datos relativos a destinatario y domicilio de entrega.
Con carácter previo, conviene recordar que los procedimientos de entrega son altamente tributarios de las condiciones en el que se despliega nuestra vida privada. De un lado, la entrega de productos a domicilio puede responder a una cuestión de volumen y comodidad, como por ejemplo sucede en el envío de la compra semanal. En este supuesto, y habida cuenta de la presencia de producto perecedero, fresco o congelado, el cliente y el distribuidor se aseguran de la presencia de una persona receptora en el domicilio. En el resto de envíos, salvo que se trate de paquetes voluminosos, suele suceder que la entrega en una hora/día previamente pactados suele cargarse con algún tipo de sobrecoste o vincularse a la fidelización del cliente.
Desde el punto de vista de la persona receptora debemos entender que la compra online incluye entre otras ventajas el evitar el coste en tiempo que supone un desplazamiento, el riesgo de que no exista stock, o las incómodas esperas en una cola para formalizar un pago. Algunas compañías de mensajería remiten al destinatario su planificación de entrega con posibles alternativas para asegurar que el producto se recogerá. Sin embargo, lo más común consiste en organizarse autónomamente se indica una oficina de recogida y cuando se fracasa en la entrega. Es decir, el destinatario se desplaza, debe hacer cola, y, en algunos casos si el furgón no restituyó el producto al almacén, regresar por segunda vez al punto de recogida. Esto motiva en más de una ocasión el enfado del consumidor, la no recogida y la devolución del producto. En muchas ocasiones, para evitar los problemas descritos, se entrega el paquete en el vecindario cuando no nos encontramos en el domicilio. La empresa más conocida del sector, tiene por hábito obligar a que la persona responsable de la entrega llame al cliente a través de una central y le pregunte sí puede depositar la entrega en la vecindad y exactamente en qué lugar. Como cliente, he recibido un trato de excelencia cuando no sólo se me solicita tal permiso, sino que además se mantiene la llamada y se confirma verbalmente con el nuevo receptor la conformidad.
En el caso que nos ocupa, la entrega se realizó de modo directo en el vecindario y sin previa comunicación al destinatario, que no autorizó entrega alguna y presentó reclamación ante el regulador. Primero contra la empresa vendedora y en fase de recurso respecto de la empresa de mensajería. Esta empresa, alegó que la metodología de entrega se incluía en los términos y condiciones de su servicio que contienen las siguientes cláusulas:
«10. Entrega
Si el receptor no se encuentra disponible, el paquete podrá ser depositado en el buzón de correspondencia postal del domicilio del receptor, si se considera apropiado, o entregado al vecino salvo que el remitente haya excluido esta opción de entrega mediante la elección del servicio adicional aplicable. »
«11. Protección de datos
11.2. Por otra parte, el remitente garantiza que ha informado debidamente al destinatario de que UPS podrá utilizar los datos personales del destinatario de acuerdo con el enlace anterior de Aviso de privacidad UPS vigente en el momento del envío respecto a usos distintos a los especificados en la anterior subsección.»
La empresa alegó carecer de responsabilidad en la medida en la que las condiciones de su acuerdo deberían haber sido consideradas por la vendedora del producto que, en su calidad de responsable, «tenía la obligación de informar a la entidad reclamada que no podía proceder a la entrega a través de un vecino». La Agencia Española de Protección de Datos considera en el expediente existe un tratamiento de datos personales que vulnera los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), en concreto el relativo a la integridad y confidencialidad. Se vulneraría con ello el artículo 73.f) de la LOPDGDD (LA LEY 19303/2018), que considera infracción grave:
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679 (LA LEY 6637/2016)
Por otra parte, considera la AEPD que la empresa denunciada ha cedido los datos del reclamante a un tercero, sin su consentimiento.
1. Aplicación de las Directrices 7/2020 del Comité Europeo de Protección de Datos: la naturaleza del contrato de encargado del tratamiento
La Autoridad delimita en primer lugar los roles desplegados en protección de datos mediante la aplicación de las Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD (Versión 2.0. Adoptada el 7 de julio de 2021). A partir de ello, constata como evidencia que no existe un contrato de encargado del tratamiento entre la empresa vendedora y la mensajería y que la segunda ha vulnerado el deber de seguridad, tanto en su dimensión de principio del artículo 5 que, además, exige un deber de responsabilidad proactiva, como en relación con la obligación específica del artículo 32.
En resumen, la responsabilidad de la empresa de mensajería deriva primariamente de una relación causal con el hecho de no haber formalizado un contrato de encargado del tratamiento. Sin embargo, ni en la relación de antecedentes ni en la de hechos probados se facilita información alguna sobre la verificación de los términos y condiciones de UPS. Es decir, no se afirma que tales términos y condiciones no reúnan los requisitos del artículo 28 del RGPD (LA LEY 6637/2016), sino que «no se ha concretado si estamos ante un contrato de servicios o bien un contrato celebrado entre responsable y encargado del tratamiento de datos personales». Y esto, sugiere la necesidad de la existencia de un modelo específico de contratación excluyendo «otro acto jurídico vinculante en virtud del Derecho de la Unión o del Derecho de los Estados miembros».
Pues bien, salvo los requerimientos específicos para la contratación pública en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LA LEY 17734/2017), por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014 (LA LEY 4613/2014), el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) no contiene ninguna previsión especial. Es más el artículo 74 k) de la LOPDGDD (LA LEY 19303/2018) considera infracción leve «incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico».
Así que, en realidad, la cuestión era si los términos y condiciones incorporaban la figura del encargado del tratamiento y, en segundo lugar, caso de existir materialmente un encargo, si la entidad que despliega este rol puede definir las condiciones en las que desarrolla su actividad. Las cláusulas contractuales alegadas se encuentran disponibles en el lugar indicado en la resolución y se integran en un contexto más amplio de información legal sito en https://www.ups.com/es/es/support/shipping-support/legal-terms-conditions.page. Estos términos incluyen una cláusula 11.1 no reproducida, y entendemos que por tanto no alegada:
11.1 UPS tiene el derecho de procesar los datos proporcionados por el remitente o destinatario en relación con el transporte realizado por UPS, a transferir dichos datos a otras compañías del grupo UPS y subcontratas, incluso en otros países que pueden no tener el mismo nivel de protección de datos que el país en el que el envío se entregue a UPS, y a que estos sean procesados allí en la medida que requiera la transferencia y el tratamiento de los datos en esos países para llevar a cabo los servicios de transporte acordados. El remitente garantiza que (i) ha obtenido legalmente los datos personales que el remitente proporcionó a UPS para el envío (ii) está autorizado a proporcionar dichos datos a UPS en la medida en que la transferencia y el procesamiento de los datos en esos países sean requeridos para realizar los servicios de transporte acordados, y (iii) ha obtenido el consentimiento informado y específico de dicho destinatario, pudiendo UPS enviar correos electrónicos y otras notificaciones relacionadas con los servicios de transporte acordados con el destinatario. UPS utiliza lo datos personales del remitente, proporcionados por el remitente en conformidad con el Aviso de privacidad de UPS publicado en el sitio web de UPS en http:// www.ups.com/content/es/es/resources/ship/terms/privacy.html.
Las políticas de privacidad a las que se refiere la cláusula contienen a su vez unas políticas específicas para el Espacio Económico Europeo claramente diseñadas para un cliente final. No contemplan una relación responsable-encargado. En este sentido, resulta interesante señalar que la búsqueda «site://www.ups.com/ "encargado del tratamiento" arroja un único resultado en Colombia (2) en el que la compañía expresa sus obligaciones como responsable del tratamiento en relación con otras entidades.
En conclusión, la información legal consultada, a salvo de que exista algún documento no localizado por impericia de este autor, no reúne los requisitos del artículo 28 del Reglamento General de Protección de Datos (LA LEY 6637/2016). En cualquier caso, la Agencia Española de Protección de Datos deja abierto un interrogante que convendría precisar «unos términos y condiciones», cualquier procedimiento de contratación online mediante condiciones generales de contratación y una definición de acuerdos de nivel de servicio constituyen o no un «acto jurídico vinculante en virtud del Derecho de la Unión o del Derecho de los Estados miembros que se les aplique».
2. La diligencia del «teórico» encargado del tratamiento
Puesto que la Agencia se limita a subrayar la ausencia de contrato y no a calificar la relación jurídica, resultaría interesante explorar su margen de acción. En este sentido, las Directrices del CEPD incluyen una valiosa consideración en relación con la esfera de autonomía y responsabilidad del encargado del tratamiento:
80. En segundo lugar, el tratamiento debe llevarse a cabo por cuenta de un responsable del tratamiento, pero no bajo su autoridad ni control directos. Actuar «por cuenta de» alguien significa servir los intereses de otro y remite al concepto jurídico de «delegación». En el caso de la normativa de protección de datos, el cometido del encargado del tratamiento es aplicar las instrucciones dadas por el responsable del tratamiento, cuando menos en lo relativo a los fines del tratamiento y a los elementos esenciales de los medios. La legitimidad del tratamiento en virtud del artículo 6 y, si procede, del artículo 9 del Reglamento deriva de la actividad del responsable, y el encargado únicamente debe tratar los datos siguiendo las instrucciones dadas por este. Aun así, tal como se ha indicado previamente, las instrucciones del responsable del tratamiento pueden dejar cierto margen de discrecionalidad sobre el modo de servir mejor a los intereses de este, de modo que permitan al encargado elegir los medios técnicos y organizativos más adecuados.
Y añaden:
84. Tal como se ha indicado previamente, nada impide que el encargado del tratamiento ofrezca un servicio previamente definido, pero el responsable del tratamiento debe adoptar la decisión final de aprobar el modo en que se efectuará el tratamiento, al menos en lo relativo a los medios esenciales.
Y en esta materia, al no pronunciarse sobre la naturaleza de la relación jurídica, la Agencia Española de Protección de Datos priva a la comunidad de expertos, y al conjunto de las empresas de una definición del alcance de la capacidad de autoorganización. Podría argumentarse, que la tarea de instrucción, y, en consecuencia, el contenido de la propia resolución, viene delimitada por la denuncia y las alegaciones de las partes. Y estaríamos completamente de acuerdo. Por ello resulta muy extraña, la ausencia de referencias a la Ley 43/2010, de 30 de diciembre (LA LEY 27018/2010), del servicio postal universal, de los derechos de los usuarios y del mercado postal. En efecto, los antecedentes de la resolución indican en su párrafo cuarto que la denunciante:
Expone que su pedido fue entregado a una de las vecinas de la comunidad en la que reside, sin previo aviso y por tanto, sin contar con su consentimiento previo y expreso, incumpliendo, además, la Ley 43/2010 (LA LEY 27018/2010) del Servicio Postal Universal. Asimismo, aduce que ejercitó el derecho de oposición, sin obtener respuesta alguna.
No es una alegación banal para evaluar la diligencia del «encargado del tratamiento» en el caso que nos ocupa. En primer lugar, para saber si conforme al artículo 4 de la citada Ley se trataba de un servicio excluido de su ámbito de aplicación o no. En segundo lugar, para obtener un marco de referencia sistemática en el caso de resultar una Ley aplicable. Lo cierto es que la regulación sobre «cómo debe realizarse una entrega se incluye en el Capítulo II del Título III sobre condiciones de prestación del servicio postal universal exigibles al operador designado por el Estado. Este dispone (la negrita y el subrayado son nuestros):
Artículo 24. Condiciones de distribución y entrega de los envíos postales.
El operador designado por el Estado para la prestación del servicio postal universal deberá realizar la entrega de los envíos en la dirección postal que figure en su cubierta. Asimismo, procurará la entrega de aquellos envíos postales cuya dirección aun siendo incompleta permita la identificación del destinatario.
Las entregas se practicarán, al menos, todos los días laborables, de lunes a viernes, salvo en el caso de concurrir circunstancias o condiciones geográficas especiales, conforme a lo previsto en esta ley y en su normativa de desarrollo. En particular, se realizará una entrega en instalaciones apropiadas distintas al domicilio postal, previa autorización de la Comisión Nacional del Sector Postal, cuando concurran las condiciones fijadas en la normativa de desarrollo de la presente ley, con arreglo a lo previsto en la Directiva 97/67/CE (LA LEY 6812/1997).
A los efectos del párrafo anterior, reglamentariamente se definirán las zonas de muy baja densidad de población, entre las que no se incluirán las zonas rurales.
Los envíos postales que deban ser distribuidos en un domicilio postal serán depositados en los casilleros instalados al efecto, que deberán reunir las condiciones previstas reglamentariamente. Entre estas condiciones deberán fijarse las relativas a la forma en que deba realizarse la reserva de uno de ellos, en cada domicilio postal, para las devoluciones de los envíos postales.
Los envíos, según el tipo de que se trate, se entregarán al destinatario o a la persona que este autorice o serán depositados en los casilleros postales o en los buzones domiciliarios, individuales o colectivos.
Se entenderá autorizado por el destinatario para recibir los envíos en su domicilio cualquier persona que se encuentre en el mismo, haga constar su identidad y se haga cargo de ellos, excepto que haya oposición expresa del destinatario por escrito dirigida al operador designado que presta el servicio postal universal.
Por otra parte, la norma reconoce el derecho fundamental a la protección de datos en los siguientes términos.
Artículo 7. Protección de datos.
1. Conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LA LEY 4633/1999), los operadores que presten servicios postales no podrían facilitar ningún dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario, ni a sus direcciones.
2. La obligación de protección de los datos incluirá el deber de secreto de los de carácter personal, la confidencialidad de la información transmitida o almacenada y la protección de la intimidad.
En la práctica, resulta posible al menos inferir cuál debería ser la diligencia profesional media en la entrega de un envío de «paquetes postales que contengan mercancías con o sin valor comercial, cualquiera que sea su peso»
En resumen, hubiera sido deseable un mayor y mejor detalle en la exposición de la concepción de la Agencia Española de Protección de Datos en esta materia. Y, no sólo desde el punto de vista de la fundamentación de la resolución, también desde el punto de vista del efecto que produce la transparencia en la publicación de las resoluciones. La naturaleza práctica de soft law que poseen debería conducir a dotar a la resolución de una mayor profundidad conceptual bien directamente, bien mediante referencias a informes o resoluciones anteriores, bien mediante una mayor profundidad en la consideración de las Directrices 7/2020. No debemos olvidar que desde hace un tiempo existe una cierta preocupación en el sector precisamente en relación con la naturaleza jurídica de distintos servicios que se sitúan en los límites entre la figura del responsable y del encargado. Por otra parte, se plantea una segunda cuestión adicional respecto del nivel de precisión y calidad en las condiciones generales de contratación de muchos responsables y encargados del tratamiento que en no pocas ocasiones se limitan a insertar cláusulas únicas con un escaso nivel de detalle.
3. Una reingeniería de procesos
La resolución plantea una cuestión adicional. La tesis del regulador consiste en que se ha infringido la seguridad revelando datos a un tercero. Pero no se caracteriza esta revelación en su integridad. Es evidente, que no se revela dato alguno en relación con los datos de identificación. A no ser claro está que se dé una de dos circunstancias:
- ▪ Se trata de una comunidad tan poblada que los vecinos «no se conocen entre ellos». Y en este caso, lo lógico es que el mensajero «llame a la puerta de al lado» de tu finca, no a la finca número 28 al otro lado de la manzana.
- ▪ Se trate de un supuesto de especial vulnerabilidad. Por ejemplo, un testigo protegido, o una víctima de violencia de género que haya ocultado por completo su identidad.
Salvo casos extremos, la única revelación de información consiste en «revelar a un vecino que su convecino es destinatario de un paquete postal y ha comprado "algo" en un sitio determinado». En este sentido, integrar la Ley 43/2010, de 30 de diciembre (LA LEY 27018/2010), del servicio postal universal como marco de referencia, ayuda a una mejor comprensión. En esencia, esta norma apunta a que el deber de confidencialidad se infringe desde el momento en el que se facilite a cualquier tercero no expresamente autorizado cualquier dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario o a sus direcciones».
En el caso que nos ocupa, resulta interesante contrastar las diferencias entre el entendimiento tradicional de la privacidad y el que deriva del derecho fundamental a la protección de datos. Señala el párrafo primero del artículo segundo de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (LA LEY 1139/1982) que «la protección civil del honor, de la intimidad y de la propia imagen quedará delimitada por las leyes y por los usos sociales atendiendo al ámbito que, por sus propios actos, mantenga cada persona reservado para sí misma o su familia». Añadiendo el párrafo segundo que no «se apreciará la existencia de intromisión ilegítima en el ámbito protegido cuando estuviere expresamente autorizada por Ley o cuando el titular del derecho hubiere otorgado al efecto su consentimiento expreso».
Y esta es la primera cuestión, ¿acaso no es un hábito común dejar paquetes en casas de los vecinos presumiendo relaciones de buena vecindad? ¿Nunca ha llamado a su timbre el cartero porque lleva una carta para un vecino y necesita que les abra la puerta? En resumen, cuál es el bien jurídico protegido subyacente en este asunto ¿la intimidad o el derecho a la protección de datos? Pues bien, vista la Ley 43/2010 (LA LEY 27018/2010), la respuesta que ofrece es contraintuitiva: no es una buena práctica dejar en manos del vecino un paquete o una carta si no se autorizó expresamente.
Y existe una segunda cuestión. Es obvio que toda infracción a la seguridad comporta una revelación de datos. ¿Cuál es la naturaleza de la conducta del vecino? Hasta para el observador menos avezado hay dos cuestiones obvias:
- ▪ No existía una relación de confianza con el vecino receptor del paquete. Y debemos pensar así ya que de lo contrario nos encontraríamos ante un uso instrumental del derecho fundamental a la protección de datos por un consumidor molesto por cualquier otra razón.
- ▪ De cumplirse la premisa anterior, si el vecino era consciente de ello no pudo aceptar la recogida del paquete sin presencia de una mínima mala voluntad. Esto es, era perfectamente consciente de que la buena fe o la imprudencia del repartidor, le permitió acceder a una información que le estaba vedada.
Y, llegados a este extremo, cabe plantearse bajo qué condición una relación de vecindad viene afectada por el RGPD. Y aquí la respuesta la ofrece, aparentemente, el considerando 18 del RGPD mediante la llamada excepción doméstica:
(18) El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.
Puede que no exista, por tanto, ninguna cuestión relevante en materia de protección de datos respecto del vecino que recibe el paquete, que no exista un «cesionario». No obstante, se ha dictado una sanción que acredita que el paquete «nunca debió ser entregado» y ello abre una cuestión adicional: ¿debió negarse el vecino a recibirlo? Y en caso afirmativo, ¿le es exigible algún tipo de responsabilidad?
En conclusión, parece que la tesis de la Agencia Española de Protección de Datos, no suficientemente explicitada sería la siguiente: en el marco de su esfera organizativa la empresa de mensajería, sea encargado o responsable del tratamiento, debe asegurar el respeto al principio de seguridad. En segundo lugar, se encuentra expresamente vetada la entrega o depósito de un paquete presumiendo relaciones de buena vecindad. Resulta por tanto indispensable obtener, y lo que es más relevante, probar, que se obtuvo el consentimiento del destinatario del envío. Y ello, obliga a afinar los procesos de gestión ya que debería suponer:
A. La posibilidad de designar «vecinos de confianza» en el proceso de compra.
Esto desencadena todo un proceso de gestión, ya que implica tratar datos que facilita una persona distinta de la persona interesada. Ello comporta dos acciones: aplicar el artículo 13 del RGPD (LA LEY 6637/2016) y obtener una confirmación. En nuestra opinión, no deja de constituirse una suerte de relación jurídica en la que al aceptar la recepción cualquier responsabilidad adicional por la custodia del paquete, corresponderá al segundo vecino. Por tanto, con independencia de la base jurídica del tratamiento la perfección del negocio exigiría una manifestación de voluntad expresa del amable vecino. No tanto por razones propias de la regulación postal, como por el necesario tratamiento de datos personales.
Esta tarea comporta un coste. Sin embargo, la cuestión que de manera inmediata y sin ningún género de dudas se plantearán las unidades de marketing de las compañías es cuanto tiene de oportunidad. ¿Sería legítimo ofrecer una suerte de compensación o premio de fidelidad al vecino amable? ¿Cuál debería ser la estructura de la página de confirmación? ¿Podría contener publicidad de la marca? Lo cierto es que gestionar de acuerdo con los criterios que hemos identificado cargan de esfuerzo a las compañías y, a la vez, constituyen una excelente oportunidad para enriquecer sus bases de datos.
B. La obligación de modificar los procesos de entrega en ausencia del destinatario.
Ya no bastaría con una llamada «informal» del mensajero a través de los sistemas de su central o de la central de compras, en la que verbalmente se solicita autorización. El artículo 5.2 es contundente: es imprescindible disponer de evidencia de la manifestación del consentimiento. Lo cual implica o un proceso de previa designación o una grabación por defecto de todas estas llamadas.
Recuérdese que de acuerdo con los propios criterios de la Agencia Española de Protección de Datos en el asunto OMNIUM-ANC «vecino de la puerta 6» es un dato personal. Ello sin contar con que muchos sistemas de gestión obligan a confirmar la identidad del receptor material incluido su documento nacional de identidad.
Por tanto, no habría que articular un proceso de recogida de datos, sino dos, ya que para probar el objeto del consentimiento sería imprescindible tratar los datos del vecindario. De hecho, podríamos complicar la cuestión hasta extremos ciertamente retorcidos. ¿Por qué razón no se infringe el deber de seguridad cuando en el propio domicilio se entrega un paquete a persona distinta del destinatario? La respuesta nos la ofrece, respecto del operador designado, el artículo 24 de la Ley de servicio postal universal cuando presume el consentimiento de la persona interesada. Y esto abre un nuevo interrogante, ¿vulnera esta ley la configuración del consentimiento en el Reglamento General de Protección de Datos?
Para entender las implicaciones, resulta conveniente que el lector, sin necesidad de referencias explícitas, despliegue las más escatológico de su imaginación. Es perfectamente razonable pensar que la compra de ciertos productos relacionados con nuestra vida sexual se realice precisamente por internet. Y lo es también que resulte ciertamente incómodo que tales envíos resulten recogidos por nuestros hijos o por nuestros padres. Por otra parte, basta con consultar los medios de comunicación para constatar la existencia de nuevos modos de habitar en viviendas compartidas que, no exigen el menor tipo de familiaridad o relación de confianza. En este tipo de supuestos, ¿bastaría con un identificador de remitente, o con un embalaje poco discreto para afectar a nuestra intimidad? No se justificaría un criterio distinto ya que, en este caso, a diferencia del derecho a la intimidad, el derecho fundamental a la protección de datos jamás poseerá la condición de «familiar» que se predica del primero por el artículo 18.1 de la Constitución (LA LEY 2500/1978). ¿Aplicaría entonces la Agencia Española de Protección de Datos la excepción doméstica en sentido literal?
4. RGPD v. la Ley 43/2010, de 30 de diciembre, del servicio postal universal
Resulta obvio que la entrega de cualquier envío a una persona distinta de la persona interesada comporta por sí misma una revelación de datos. Como se ha ejemplificado, la identidad de un remitente permite inferir el contenido probable del envío y, a partir de aquí, obtener información adicional relativa al destinatario. Pero para ello, hay un requerimiento instrumental previo: hay que tratar datos personales. Recordemos el inciso final del artículo 24 de la Ley 43/2010 (LA LEY 27018/2010) citado más arriba:
Se entenderá autorizado por el destinatario para recibir los envíos en su domicilio cualquier persona que se encuentre en el mismo, haga constar su identidad y se haga cargo de ellos, excepto que haya oposición expresa del destinatario por escrito dirigida al operador designado que presta el servicio postal universal.
Es decir, en este proceso de recogida por un tercero existen dos tratamientos de datos personales:
- ▪ El de la persona no destinataria que recoge el paquete.
En la diligencia de entrega debe hacerse «constar su identidad». Aquí es dónde debe obtenerse algún tipo de evidencia. Y, este autor debe ser una rara avis, porque ni una sola vez desde el 29 de octubre de 1992 este proceso ha sido precedido por el cumplimiento alguno del deber de transparencia. Jamás.
- ▪ El de la persona destinaria del paquete.
Y aquí, entra en juego una interpretación ciertamente alambicada, pero razonable. Desde la STC 292/2000 (LA LEY 11336/2000) resultó claro que la naturaleza del derecho fundamental a la protección de datos se traduce en un derecho de control sobre los datos relativos a la propia persona cuya configuración es muy precisa:
(…) el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta la persona para decidir qué de esos datos proporcionar a un tercero, sea el Estado o un particular, o qué puede obtener este tercero, y que también permite al individuo saber quién posee esos datos personales y para que, así como oponerse a esa posesión o uso. (FJ 6)
La legislación postal puede presumir que no existe oposición a la entrega de un paquete a una persona distinta del destinatario en la vivienda. Sin embargo, el RGPD ha excluido cualquier posibilidad de admitir la existencia del llamado opting out, del consentimiento tácito. Por ello, no es viable presumir que «el destinatario» autoriza una revelación de datos a una persona que habite en su domicilio acepte el paquete y se haga cargo de él, por muy distintas razones.
Nuestro derecho fundamental a la protección de datos, como el resto de los derechos, aplica y vincula a los sujetos privados, sean estos vecinos o nuestra familia, o una persona con la que compartimos un piso que se alquila por habitaciones. Y aquí, ni siquiera se necesita la acción de la justicia para obtener la garantía de la llamada eficacia mediata de los derechos fundamentales. Esa tarea le corresponde integralmente a la Agencia Española de Protección de Datos.
Desgraciadamente el legislador no suele aplicar a sus desarrollos ni el análisis de riesgos ni la protección de datos desde el diseño y por defecto. Y en el 2010 se admitía el consentimiento tácito. Hoy el camino hubiera sido distinto: habría dibujado el proceso de tratamiento el flujo de datos, y hubiese apreciado una contradicción entre dicho flujo y el RGPD. De manera simplificada:
| Proceso ordinario | Proceso previsto en la Ley 43/2010 (LA LEY 27018/2010) |
| 1. Se recogen los datos. | 1. Los datos los proporciona el remitente. |
| 2. Se cumple con el deber de transparencia. | 2.1 El destinatario carece de información alguna. Los usos sociales hacen que no se plantee esta cuestión. 2.2 Se tratan los datos de la persona que recibe el paquete. Usualmente no se ofrece información sobre el tratamiento y sus condiciones. |
| 3. Se presta el consentimiento. | 3. El destinatario carece de control. Debería saber que puede ejercer su derecho. Pero si no lo ejerció previamente se revelará el envío a un conviviente. |
Desde el punto de vista del riesgo, la conclusión es sencilla. Existe el riesgo de que en el propio domicilio un conviviente acceda de modo no deseado a información relativa a otro conviviente. En un esfuerzo de diligencia este autor ha navegado la página de Correos. Con los siguientes resultados.
| Sección | Contenido | URL |
| Recibir | «Gestiona la entrega de tu envío. Consulta su estado y mantente informado en cada momento de dónde se encuentra» No existe ningún formulario para la exclusión de entrega a convivientes. | bit.ly/3WQF683 |
| Correos Modify | «Modifica fácilmente la entrega de tu envío. Te enviamos un SMS o email con la información de tu envío para comunicarte la fecha de la entrega y un enlace desde el que puedes gestionar los cambios que el ecommerce te permita. También puedes modificarlo desde la App de Correos». No existe ningún formulario para la exclusión de entrega a convivientes. | bit.ly/3WR10Z8 |
De ser cierto, es decir de no tratarse de un problema de accesibilidad, la conclusión no es otra que señalar que la presunción legal de consentimiento, la falta de publicidad de tal posibilidad de exclusión, y los hábitos sociales comportan una probabilidad alta de una entrega indeseada cuyo impacto, en su grado más extremo en función de la naturaleza de la entrega, podría incluir la revelación de categorías especiales de datos y no sólo por inferencia, por ejemplo si se recibe un correo certificado con origen en un partido político o un sindicato. A esa conclusión conduce el criterio estricto de calificación jurídica empleado por la Agencia Española de Protección de Datos en su resolución en el asunto OMNIUM-ANC (PS/00235/2015).
Así pues, si se presume conforme al Derecho de la Unión la normativa postal, esto es si se excluye una manifestación expresa de consentimiento para facilitar la entrega de envíos a convivientes implicando revelación de datos, las consecuencias materiales para la garantía del derecho a la intimidad y del derecho fundamental a la protección de datos resultan evidentes, al menos desde un análisis razonable de riesgos.
5. Conclusiones
En nuestra opinión, la Agencia Española de Protección de Datos ha definido un listón muy alto que nos obliga a inferir cuál sea el sentido y efectos de su pronunciamiento. Las resoluciones, los informes, las guías, al igual que las leyes y reglamentos adquieren vida propia y despliegan efectos inesperados. Y, esta resolución, breve, apenas desplegada en su fundamentación, plantea elementos nucleares no solo en materia de delimitación del bien jurídico protegido. Si, admitimos que el regulador acierta, esto es que no es una cuestión meramente privada, y que abordamos un problema de protección de datos, sus consecuencias deberían reorientar los procesos que se viene aplicando en el comercio electrónico y la venta a distancia dotándolos de un grado de estandarización adicional.
Por otra parte, la posición de la AEPD obliga a estudiar si el principio de primacía del Derecho de la Unión supone considerar no aplicable el inciso final del artículo 24 de la Ley 43/2010, de 30 de diciembre (LA LEY 27018/2010), del servicio postal universal, al requerirse que cualquier tratamiento de datos personales, también el relativo a la entrega de un paquete postal, se ajuste a los criterios del Reglamento General de Protección de Datos (LA LEY 6637/2016).