En octubre de 2019, la AEPD ha impuesto en su resolución PS/00252/2019 a la Sociedad Estatal Correos y Telégrafos S.A. (“Correos”) una multa de 40.000 euros por infringir el principio de confidencialidad recogido en el RGPD. En síntesis, Correos entregó un correo certificado a un destinatario equivocado, sin tener constancia de la persona que firmó el recibí ni el domicilio de la entrega.

Motivo de la denuncia:

Los hechos sucedieron el 14 de mayo de 2018. La correspondencia extraviada provenía de Argentina, e incluía un certificado de matrimonio que necesitaba el reclamante para un procedimiento civil.

Como consecuencia de la pérdida de la correspondencia, el reclamante presentó una denuncia ante la policía el 8 de junio de 2018, una reclamación ante Correos el 12 de junio de 2018 y una denuncia ante la AEPD el 12 de julio de 2018.

Tras recibir un requerimiento, Correos contestó a la AEPD el 30 de octubre de 2018, manifestando que la correspondencia se había entregado al destinatario que figuraba en el sobre. No obstante, en la firma digitalizada en la tableta de la recepción del envío, el DNI del firmante era diferente al del reclamante.

Pese a que Correos aportó información del seguimiento del envío hasta su entrega (ej. Fecha en la que llegó la correspondencia a España y fecha de su entrega), en dicha información no aparecían los datos del destinatario, y en la dirección de entrega solo ponía “Madrid Distrito 11”.

Infracción:

Según la resolución, la AEPD consideró que Correos cometió una infracción del principio de confidencialidad recogido en el RGPD en su artículo 5.1.f):

“Los datos personales serán…tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.

Y en el artículo 5 de la LOPDGDD: “1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679”.

Agravantes y atenuantes:

La AEPD consideró los siguientes agravantes en la presente resolución:

– La naturaleza y el nivel de los daños y perjuicios que el reclamante ha sufrido (artículo 83.2.a) del RGPD). Dado que el contenido de correspondencia extraviada era un certificado de matrimonio, necesario para un procedimiento civil del reclamante, este sufrió un claro perjuicio por tener que volver a reiniciar el proceso de petición del certificado de matrimonio y retrasar su procedimiento civil.

– Artículo 83.2.d) del RGPD: “El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32”. En esta resolución, se tomó en consideración la falta de control por parte de Correos en cuanto a la entrega del envío, en la medida en la que no sabían la identidad ni la dirección donde realizaron la entrega.

– Artículo 83.2.k del RGPD en relación con el artículo 76.2.b) de la LOPDGDD: “La vinculación de la actividad del infractor con la realización de tratamientos de datos personales”. En el presente caso, los datos tratados lo han sido en el marco de la actividad que ejerce Correos a nivel estatal como labor habitual, y de modo profesional.

La AEPD consideró el siguiente atenuante en esta resolución:

– Artículo 83.2.g) del RGPD: “las categorías de los datos de carácter personal afectados por la infracción”. En este caso concreto, la AEPD estima que los datos personales son de carácter básico al estar relacionados únicamente con el estado civil del reclamante.

Conclusión:

La presente resolución resulta interesante por ser la primera multa a una sociedad estatal por infracción del RGPD que vemos en España. Sin embargo, no se ha hecho mención en la resolución al articulo 77 de la LOPDGDD que regula el régimen aplicable a este tipo de sociedades.

En cuanto a los hechos de la resolución, resulta llamativo que Correos no tenga implementado un protocolo de entrega más seguro para su correo certificado, incluyendo por ejemplo algún proceso de verificación de los datos personales de la persona a la que se realiza la entrega. De haber sido este el caso, habrían detectado el error, dado que el DNI del reclamante era distinto del DNI de la persona que recibió la entrega.

La infracción del principio de confidencialidad del RGPD no es nuevo para la AEPD. En un post anterior ya mencionamos otras dos multas de la AEPD por infracción de dicho principio.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.