En 2023, la Agencia Española de Protección de Datos (AEPD) sancionó a la empresa de paquetería GLS con 140.000 euros por vulnerar el artículo 5.1.f del RGPD. La infracción se produjo al entregar dos teléfonos móviles a terceras personas en domicilios distintos al del destinatario original, sin contar con el consentimiento previo de los compradores ni verificar su identidad, rompiendo así el principio de confidencialidad e integridad de los datos.

Lecciones del caso GLS: ¿Qué vigila la AEPD en 2026?

Aunque el caso de los móviles de Xfera entregados por GLS sentó un gran precedente, las inspecciones de la AEPD a eCommerce y empresas de logística se han endurecido. Actualmente, la Agencia no solo castiga el error del repartidor, sino la falta de protocolos documentados previos.

Para evitar una multa similar a la de GLS, toda empresa debe garantizar:

• Prohibición de entrega a vecinos: A menos que exista una casilla de verificación expresa (consentimiento explícito) en el proceso de compra donde el cliente autorice dejar el paquete a un tercero.
• Contratos de Encargado de Tratamiento (Art. 28 RGPD): Si eres un eCommerce, debes tener un contrato blindado con tu empresa de transporte que delimite exactamente qué pueden y qué no pueden hacer con los datos de envío de tus clientes.
• Registro de Actividades de Tratamiento (RAT): Actualizado y detallando el ciclo de vida del dato desde el «carrito» hasta la firma en la PDA del repartidor.

No dejes tu cumplimiento normativo al azar

Redactar a mano los Contratos de Encargo de Tratamiento, los consentimientos para eCommerce y mantener el Registro de Actividades actualizado es un riesgo enorme (y una pérdida de tiempo).

Con el software para DPOs y consultores de Data Privacy Solution, puedes automatizar toda la documentación de tus clientes, evaluar riesgos y generar informes en minutos para demostrar el cumplimiento proactivo ante la AEPD.