Un pedido realizado por el reclamante a Media Markt fue entregado a una de sus vecinas, sin haberle avisado con antelación, y sin contar, por tanto, con su consentimiento previo y expreso.
Con base en estos hechos probados, la AEPD ha impuesto a la empresa de reparto United Parcel Services (UPS) dos multas, una de 50.000 euros y otra de 20.000, por la comisión de sendas infracciones muy grave y grave, por contravenir, respectivamente, los arts. 5.1 f) (LA LEY 6637/2016) y 32 RGPD (LA LEY 6637/2016), al haber efectuado un tratamiento de datos vulnerando el principio de integridad y confidencialidad y no haber tomado las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes.
UPS expone en su defensa que, como prestador de servicios, tiene cumplir lo acordado con el vendedor y que en el contrato suscrito con éste sí se recoge la posibilidad de entrega del paquete al vecino en ausencia del destinatario, así como la obligación del remitente del envío de informar debidamente al destinatario sobre el tratamiento de sus datos en el marco de los servicios que ofrece la entidad reclamada.
Ello no obstante, explica la AEPD que la sancionada ha cedido los datos del reclamante a un tercero sin su consentimiento, y que actuar de conformidad con el contrato suscrito con el vendedor no enerva la infracción.
Apunta que, según las Directrices 07/2020 del Comité Europeo de Protección de Datos (CEPD) sobre los conceptos de responsable del tratamiento y encargado en el RGPD, estos conceptos son funcionales y se tienen que asignar teniendo en cuenta las actividades reales de cada uno. Subraya que hay que analizar en cada caso la relación jurídica establecida entre las partes, y entiende que, en el supuesto examinado, UPS no ha probado que concurran los requisitos necesarios para ser considerado encargado del tratamiento, pues no ha acreditado que haya suscrito con la vendedora el contrato que debe regir las relaciones entre responsable y encargado del tratamiento de datos personales.
Concluye así que el hecho de tener firmado un contrato con Media Markt no exime de responsabilidad a la empresa reclamada, ya que no se ha concretado si se está ante un contrato de servicios o ante un contrato celebrado entre responsable y encargado del tratamiento de datos personales, siendo en este segundo caso de obligado cumplimiento todas las garantías exigidas conforme al art. 28 RGPD (LA LEY 6637/2016).
Como consecuencia, la Agencia considera que los hechos probados, imputables a UPS, además de constituir una infracción del art. 5.1 f) RGPD (LA LEY 6637/2016), por haber violado el principio de integridad y confidencialidad, vulneran también el art. 32 del propio Reglamento, al no haber adoptado las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes, ya que las medidas implementadas no son adecuadas y deben ser mejoradas tras haberse constatado que no han sido suficientes para evitar los hechos denunciados.
Por último, en lo que respecta a la graduación de la sanción, acuerda imponer por la infracción del art. 5.1 f) RGPD (LA LEY 6637/2016), considerada muy grave, una multa de 50.000 euros, y por la del art. 32, considerada grave, 20.000 euros, aplicando en ambos casos como agravante la vinculación del responsable con el tratamiento de datos personales.