Blog

Paquete equivocado. La Audiencia Nacional confirma sanción a UPS por la entrega de paquete a un vecino que contenía datos personales

viernes, 5 de junio de 2026

El 9 de marzo de 2021, un particular presentó una reclamación ante la Agencia Española de Protección de Datos (AEPD) contra UNITED PARCEL SERVICE ESPAÑA LTD Y COMPAÑÍA, S.R.C. (UPS), empresa dedicada a la prestación de servicios de transporte y entrega de paquetería. El reclamante manifestaba que un pedido adquirido a través de MEDIA MARKT había sido entregado a una vecina de su comunidad sin previo aviso ni consentimiento por su parte, lo que había supuesto una cesión de sus datos personales a un tercero.

A raíz de estos hechos, la AEPD inició un procedimiento sancionador contra UPS. Tras la tramitación del procedimiento, la Agencia consideró que los hechos denunciados constituían una infracción del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD) y una segunda infracción del artículo 32. Como consecuencia, impuso a la entidad una multa de 50.000 euros por la primera infracción y otra de 20.000 euros por la segunda. 

Disconforme con esta decisión, UPS interpuso recurso contencioso-administrativo ante la Audiencia Nacional, alegando que MEDIA MARKT conocía y había aceptado contractualmente la posibilidad de que los paquetes fueran entregados a un vecino cuando no pudiera efectuarse la entrega al destinatario. Por ello, defendía haber actuado conforme a lo pactado contractualmente y consideraba que correspondía a MEDIA MARKT, como responsable del tratamiento de los datos personales, la obligación de informar a UPS que no podía proceder a la entrega a través de un vecino.

Al analizar el asunto, la Audiencia Nacional confirmo el razonamiento de la AEPD. 

En primer lugar, en cuanto a la infracción del artículo 5.1.f) RGPD, la Sala considera que, aunque el nombre y la dirección del destinatario son datos cuyo conocimiento puede resultar normalmente accesible para los vecinos, el número de teléfono constituye un dato personal cuya confidencialidad debía ser garantizada. Por ello, entiende que UPS debió adoptar las medidas necesarias para evitar que dicho dato fuera accesible al vecino que recibió el paquete.

Asimismo, la Audiencia Nacional confirma la infracción del artículo 32 del RGPD al considerar que UPS no había adoptado medidas adecuadas para evitar el acceso de terceros a datos personales, evidenciando que las medidas de seguridad implantadas no fueron suficientes para prevenir los hechos denunciados. 

No obstante, la Sala estima parcialmente el recurso al considerar que las sanciones impuestas resultaban desproporcionadas. Como consecuencia, reduce la sanción por la infracción del artículo 5.1.f) del RGPD a 20.000 euros y rebaja a la mitad la sanción impuesta por la infracción del artículo 32 del RGPD.

Ver en medio original