Amende de 70.000 XNUMX euros pour avoir livré un colis à un voisin sans l'autorisation du destinataire

L'Agence espagnole de protection des données (AEPD) a infligé une amende de 70.000 XNUMX euros à la société de messagerie United Parcel Service (UPS) pour avoir livré une commande passée à un voisin du destinataire sans son autorisation.

L'Agence estime dans ta résolution que le précepte 5.1 f) et l'article 32 du Règlement général sur la protection des données (RGPD) ont été violés « en violant le principe d'intégrité et de confidentialité, ainsi qu'en n'adoptant pas les mesures de sécurité nécessaires pour garantir la protection des données personnelles de ses clients », selon la résolution.

Pour le premier, il inflige une amende de 50.000 20.000 euros à UPS, tandis que pour le second une amende de XNUMX XNUMX euros.

Les faits remontent à mars 2021, lorsque la personne a effectué un achat en ligne auprès de Media Markt. Bien que l'utilisateur ait initialement réclamé Media Markt, l'AEPD considère qu'UPS est responsable de garantir la protection des données des clients.

« Techniquement, on peut considérer que le principe de confidentialité imposé par la réglementation sur la protection des données a été violé. Le responsable du traitement – ​​l'entreprise de messagerie – a fourni des données personnelles – celles figurant sur le colis du destinataire – à un tiers non autorisé – le voisin à qui le colis est livré », explique Samuel Parra, avocat spécialisé en droit numérique à Murcie.

« Cette circonstance s'est produite en raison de mesures de sécurité organisationnelles déficientes, elle pourrait donc également être considérée comme une faille de sécurité », ajoute l'avocat, qui reconnaît que des doutes juridiques surgissent quant à savoir si l'entreprise de messagerie doit être sanctionnée deux fois.

« Je considère que l'appareil répressif de l'État doit être déployé avec prudence et uniquement dans les cas dûment justifiés par la violation des droits des citoyens. Dans ce cas précis, j'estime que le comportement de l'entreprise de messagerie ne justifie pas la sanction imposée et, en tout état de cause, l'avertissement prévu par le règlement aurait dû être appliqué. Bien qu'il s'agisse d'une sanction, elle n'est pas de nature pécuniaire », a ajouté Parra.

Pour Ignacio Suárez, avocat spécialisé en protection des données, droit de l'Internet et nouvelles technologies, « un avertissement aurait été plus approprié si un transfert de données avait eu lieu, car il est possible que cela constitue une violation du devoir de confidentialité prévu par la loi sur le service postal universel ».