La sanción de 140.000€ impuesta a GLS por la Agencia Española de Protección de Datos (AEPD) se debió a la entrega de móviles a personas diferentes tras suplantación de identidad de 2 clientes (70.000€ en cada caso), vulnerando el art. 6 RGPD al haberse tratado en ambos casos los datos personales sin legitimación.

Hoy, 30 de agosto de 2023 hemos leído esta resolución sancionadora de la Agencia (enlace de lectura) que una vez más deja ciertas dudas, si bien no tener acceso a toda la documentación y evidencias presentadas no ayuda a entenderla mejor.

La doble denuncia a GLS:

Los 2 reclamantes compraron un terminal móvil a XFERA, acordando el envío a su domicilio a través de empresa de mensajería (GLS), pero no les llegan y al reclamar les informan que alguien ha ido a recogerlos a la sede de la empresa de mensajería, es decir, suplantando su identidad.

Señalar que es una resolución “confusa” en la que hay que destacar lo siguiente:

Para GLS, aunque los 2 clientes solicitaron entrega en domicilio, hubo un cambio en el sistema web que lo gestiona. El cambio, que solo puede hacerse conociendo datos adicionales (número de identificación del envío y el código postal), era para hacer la recogida en tienda.

Por tanto, para GLS quienes solicitaron el cambio en el sistema de lugar de entrega habilitado en su página web conocían necesariamente ambos datos para hacer el cambio.

En definitiva, GLS alega, entre otras cuestiones:

  1. Que no ha modificado el lugar de entrega, sino que lo que sucedió es que recibió una solicitud externa y legítima de cambio de lugar de entrega a través de los mecanismos habilitados para ello (en su web y que supone introducir datos adicionales).
  2. GLS manifiesta que no tiene relación contractual con las partes reclamantes, sino que tiene un contrato mercantil con XFERA, y por ello no ha podido modificar unas condiciones contractuales de un contrato del que no es parte, tal y como veremos que indica la Agencia.

¿Qué es lo que sanciona la Agencia?

Que los hechos punibles son que se cambiaron las condiciones del contrato de compra sin contar con legitimación para ello.

En definitiva, la agencia con independencia de lo manifestado por GLS en sus alegaciones respecto al cambio solicitado en su sistema, considera que hubo suplantación de identidad en los 2 casos pues:

  1. En uno caso pudo recogerlo usando un documento presuntamente falso, pues tenía el formato de “Documento de identificación de extranjeros”, mientras que el receptor real se corresponde con un DNI y tampoco coincidían ni la foto ni la dirección postal.
  2. Al otro reclamante sólo se le requirió para su entrega que indicase, nombre y DNI correctos.

Es por ello que la AEPD considera que GLS ha modificado las condiciones del contrato de los reclamantes sin contar con su consentimiento, ni ninguna otra causa de legitimación (licitud) que permita su tratamiento, al solicitar el cambio del lugar de entrega del terminal.

Riesgos y garantías adicionales ante un cambio en las condiciones del contrato: probabilidad y gravedad

El enfoque al riesgo, que está muy presente en el reglamento, y la obligación impuesta en su art. 32 de mantener la seguridad de los tratamientos y que exige al responsable evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, hace que a lo largo del ciclo de vida del tratamiento se deba determinar y establecer las medidas de seguridad técnicas y organizativas apropiadas.

En este caso, la Agencia considera que la modificación del punto de entrega supone un incremento del riesgo, ya que los envíos pueden ser recibidos por quien no sea directamente su titular.

Conclusiones a extraer de la presente resolución

Además de la falta de diligencia vistos los datos solicitados en la entrega para verificar la identidad, queda de manifiesto que no es suficiente hacer un análisis de riesgos, debemos revisarlo si existe una nueva variable, como el cambio en un sistema que gestione el tratamiento y que haga que se genere una probabilidad nueva o diferente.

Por ello, debemos evaluar los riesgos inherentes, su gravedad para los derechos y libertades de las personas y finalmente aplicar medidas adecuadas para mitigarlos.

Para la agencia una variación del punto de entrega supone una variación del contrato, en la que el sistema que lo gestiona y los datos que se solicitan han demostrado no ser suficientes garantías.

En definitiva, GLS debe de valorar que existe la posibilidad de entregarlo a quien no debe y por ello implementar medidas adicionales como garantía para que no se produzca, ya que en ambos casos no se impidió.

Artículo publicado por:

Rafael Varela
EUROVIMA CONSULTING