Los datos personales pueden interpretarse como una sucesión de letras y números, aleatoria o impuesta por la familia, pero meros códigos, al fin y al cabo. Superficiales, casi azarosos. No obstante, los datos personales son cada vez más valiosos, porque contienen información privada que otras personas pueden explotar de muy diversas maneras. Por ello, las empresas que conocen dónde vive una persona y cuál es su DNI, como las de paquetería, deben extremar la precaución. CTT Express es una de ellas.
No obstante, los repartidores de esta compañía no siempre actúan con la profesionalidad que sería deseable. Si hace unos meses Consumidor Global mostró cómo dejaban los paquetes tirados en la calle, ahora se hace eco de la inquietud de una consumidora que tuvo que resignarse a que un trabajador fotografiase su DNI.
Documento en mano
Ana Rimbau hizo un pedido a PC Componentes que fue enviado sin inconvenientes. La empresa responsable del envío era CTT Express y, cuando el repartidor llegó a su casa, pidió a Rimbau su DNI para poder hacerle entrega del paquete. Ella, reticente, se ofreció a dictarle los datos, pero él “insistió en necesitar el documento en mano”, según cuenta a este medio.
“Tras entregarle mi DNI, procedió a tomar varias fotos del mismo con su teléfono móvil, algunas de ellas incluyendo el paquete entregado. Este procedimiento me resultó inusual y preocupante, pero en ese momento, por la necesidad de recibir el paquete, no expresé objeción”, reconoce Rimbau. Así, el repartidor tomó sus fotos y se marchó.
Vulneración de la Protección de Datos
Sin embargo, esta consumidora se quedó con la mosca detrás de la oreja y decidió revisar la normativa sobre protección de datos. Entonces comprendió “que esta acción podría no ajustarse a las regulaciones del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), lo que incrementó mis preocupaciones sobre la privacidad y el manejo seguro de mis datos personales”.
Su inquietud estaba justificada: el abogado Samuel Parra, experto en derecho tecnológico y ciberseguridad, explica a Consumidor Global que, desde el punto de vista jurídico, lo que hizo el repartidor de CTT Express vulnera el principio de minimización de datos.
Minimización de datos
La Agencia Española de Protección de Datos (AEPD) define este principio como la aplicación de medidas técnicas y organizativas “para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad”.
Es decir, mirar, recabar o tomar lo justo y necesario, nada más. Inmiscuirse lo mínimo posible. Parra considera admisible y hasta positivo que el repartidor vea el DNI para verificar la identidad del receptor de un paquete, pero afirma que fotografiarlo es algo muy distinto. “No cabe ninguna duda de que esa práctica no es correcta”, señala el letrado.
Multas a hoteles o a la policía por motivos similares
Por desgracia, no es algo tan infrecuente como cabría esperar. Parra revela que la AEPD no solo ha sancionado a empresas privadas por llevar a cabo prácticas de este tipo, sino que ha llegado a multar a la policía local de algún ayuntamiento por reproducir un DNI que había pedido por la calle a algún ciudadano.
“También se ha multado a hoteles por guardar copias de DNI escaneados de sus clientes”, expone. Con estas acciones, lo que busca la agencia es “evitar que circulen copias por bases de datos”, puesto que existen empresas que gozan de acceso a “miles de copias de documentos nacionales de identidad, y con eso se puede hacer muchas cosas. Cosas negativas”, describe.
La justificación de PC Componentes
Rimbau pidió explicaciones a PC Componentes, desde donde argumentaron que el artículo había sido gestionado por una tienda externa de su marketplace y que, aunque CTT Express había realizado entregas para ellos, “normalmente solo anotan el número del DNI para el comprobante de entrega”.
“Me aseguraron que no es común ni parte de sus directrices solicitar fotos del DNI y me aconsejaron contactar directamente con CTT Express para aclarar la situación según las regulaciones del GDPR”, añade esta afectada.
CTT Express no da explicaciones
En cambio, CTT Express no le ofreció ninguna explicación convincente ni clarificadora hasta que Consumidor Global se puso en contacto con la empresa. En ese momento decidieron mover ficha. “Una agente tomó nota de mi incidencia y prometió enviarla a la agencia correspondiente, pero hasta ese momento, no recibí ninguna comunicación ni por teléfono ni por correo electrónico, lo que dejaba mis preocupaciones sin resolver”, lamenta Rimbau.
Cuando la empresa al fin se puso en contacto con ella, le pidió disculpas y le aseguró que habían abierto un expediente para esclarecer lo sucedido. Con todo, si Rimbau hubiese querido ir más allá y llevar su reclamación a la AEPD, no es descartable que CTT Express hubiese recibido una sanción: el pasado marzo, la Agencia multó con 100.000 euros a Orange por ordenar a los repartidores de GLS fotografiar de forma íntegra el documento de identidad de los clientes a través del sistema IdentService.
La respuesta de la compañía
Fuentes de CTT explican a este medio que “esta no es una práctica aprobada ni aceptada por la compañía, ni mucho menos es habitual”. “Nos encargamos de formar a todos nuestros proveedores de reparto en materia de protección de datos para evitar errores”, indican.
En esta ocasión, explican, el proveedor de reparto quiso extremar la precaución y la eficiencia para garantizar que había hecho la entrega correctamente. “Sin mala fe”, subrayan, “y sin saber que no lo podía hacer”. También apuntan que la AEPD ha desestimado todos los requerimientos en materia de protección de datos que envolvían a CTT, “lo que corrobora nuestro buen hacer y nuestro compromiso con la protección de los datos”.
Exceso de celo
Es decir, que el repartidor de CTT habría fotografiado el DNI de Rimbau para curarse en salud y poder demostrar ante su propia empresa que el paquete había llegado al destino exacto. Quizá lo hizo como medida preventiva tras una mala experiencia, en la que algún cliente se quedó un paquete que no le correspondía o recibió el que le tocaba, pero luego lo reclamó, jugándole una mala pasada.
Con todo, también es innegable que un repartidor debería conocer que los datos personales son información sensible y deben ser “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.