Conseguir el archivo de denuncias a la AEPD es posible
Después de la última multa interpuesta a UPS hace un mes por parte de la Agencia Española de Protección de Datos, por la que la Agencia sanciona a la mercantil con una con la cantidad de 140.000€ por entregar un paquete a un tercero sin previo consentimiento del usuario, Auris Advocats, en representación de un cliente cuyo objeto social es la entrega de paquetería a usuarios finales ha conseguido el archivo de varias denuncias de usuarios ante la AEPD por los mismos motivos por los que UPS ha sido sancionado.
Recordamos que esta es la segunda sanción impuesta a UPS por el mismo motivo. Nuestro socio Xavi Saula fue entrevistado en la revista Economist & Jurist acerca de la primera sanción y, junto con otros juristas, dio su opinión en el siguiente artículo.
¿Cómo hemos conseguido desde Auris el archivo de las denuncias?
Es fundamental que la empresa cumpla de manera global en materia de protección de datos y específicamente cumpla con las medidas técnicas y organizativas apropiadas (integridad y confidencialidad) para garantizar un nivel de seguridad adecuado y todo ello ha de demostrarse documentalmente ante la AEPD.
Además, como hemos visto en las dos sanciones interpuestas a UPS, el intentar culpar a la empresa responsable de los datos del usuario final, tampoco es un argumento válido, ya que como hemos dicho inicialmente, lo que ha de evidenciarse es que la empresa garantiza la seguridad y privacidad tal y como establece el art 32 del RGPD siendo esta una obligación de medios y no de resultados.
¿Qué documentación aportamos para demostrar el cumplimiento?
En la contestación a la AEPD primero se aporta el contrato (normalmente de encargado de tratamiento) entre el Responsable de los datos con la empresa de entregas de e-commerce.
También se aporta el Análisis de Riesgo (y/o Evaluación de Impacto si se considera obligatoria según el art. 35. 1 del RGPD) en el que se lleva a cabo una valoración del riesgo en los tratamientos realizados, con el fin de determinar qué medidas aplicar y cómo hacerlo.
Asimismo, es importante enumerar todas las medidas organizativas y técnicas para conseguir un resultado óptimo en las entregas, con medios que razonablemente pueden calificarse de idóneos y suficientes para su consecución como son:
- protocolos para drivers de obligado cumplimiento,
- servicio de atención al cliente con canales de comunicación eficientes y con personal y herramientas suficientes para dar respuesta inmediata a cada una de las solicitudes del cliente: contestar en plazo al usuario y responder razonadamente el motivo que ha causado su queja y ofrecerle una solución (en caso de que sea posible) es fundamental.
Finalmente han de aportarse las medidas adoptadas para evitar que se produzcan incidencias similares, fechas de implantación y controles efectuados para comprobar su eficacia.
En este último punto, la empresa ha de confirmar la aplicación del principio de responsabilidad proactiva a la hora de implementar las medidas de seguridad, las cuales son revisadas de manera continua para introducir cuantas mejoras se estimen convenientes (en el caso que nos ocupa, como medidas adoptadas se ha retirado de las etiquetas identificativas el número de teléfono cumpliendo así con el principio de minimización de datos y se ha modificado el protocolo para drivers en aras de garantizar la confidencialidad e integridad de los datos de los usuarios finales).