El destinatario de un paquete no lo recibe, por lo que decide ponerse en contacto con la empresa que debía realizar el servicio de entrega SERVICIOS URBANOS VAAM S.L. (URVAAM). URVAAM le indica que el paquete fue entregado y le facilitó un albarán de entrega donde aparece un DNI y una firma que no se corresponden con los suyos. Ante estas circunstancias, decide interponer reclamación ante la Agencia Española de Protección de Datos (AEPD).
En el transcurso de la investigación, URVAAM alegó que no es responsable del tratamiento, sino que presta servicios de intermediación comercial de productos a YUN EXPRESS, S.L. (YUN EXPRES) y que, en todo caso, ese servicio lo había subcontratado, con autorización de YUN EXPRESS con otra empresa. Esta empresa a su vez lo subcontrató con un tercero que, finalmente, le encarga la entrega a otra persona bajo una colaboración puntual. Existen firmados contratos de encargo de tratamiento salvo en el último eslabón de la cadena en la que se alegó que “debido al corto tiempo de colaboración se me pasó por alto firmar el contrato de encargo de tratamiento”.
La AEPD, después de analizar el contrato de encargo de tratamiento originario entre YUN EXPRESS y URVAAM concluye que existe un incumplimiento del art.28.3 RGPD, que indica qué ha de contener este contrato y afirma que:
- Existe un incumplimiento de este artículo puesto que el contrato se limita a reproducir el contrato lo indicado en el RGPD respecto a medidas de seguridad,cuando en realidad debería definir con claridad qué medidas debe implementar el encargado lo que impide evaluar la adecuación al riesgo y la trazabilidad del cumplimiento normativo.
- Que no es válida la autorización general incluida para la contratación de subencargados, debiendo especificar cuales son las empresas que el encargado está autorizado a subcontratar.
- Tampoco se indica cómo el encargado ayudará al responsable a cumplir con sus obligaciones en materia de protección de datos.
Además considera que existe un incumplimiento del art.5.1 RGPD porque los datos delreclamante (como destinatario del envío) estaban siendo tratados de forma inexacta al quedar vinculados a datos personales- DNI y firma de un tercero-.
Finalmente, la AEPD, observando que incurren agravantes como la gravedad de la infracción, la intencionalidad o negligencia, o la vinculación de la actividad del infractor con la realización de datos personales, interpone una sanción consistente en:
- sendas multas administrativas de 5.000€ y 4.000€ por las infracciones del art.28.3 y 5.1 respectivamente (que quedan en 5.400€ por reconocimiento de la infracción y pronto pago).
- así como una medida correctiva consistente en adecuar el contrato de encargo de tratamiento con URVAAM a las exigencias del RGPD en un plazo de 3 meses.