La Protección de Datos en la Cadena de Suministro

Protección de Datos en la Logística: el error que costó 70.000 euros. La tercerización de servicios es clave en la industria logística, pero no te exime de responsabilidad.

EMPRESASPROTECCIÓN DE DATOS PERSONALESLOGÍSTICA

Datlia SpA

3/13/20254 min read

La industria de la logística y la cadena de suministro se ha transformado gracias a los datos. Desde la optimización de rutas hasta la personalización de entregas, la información se ha convertido en el motor de la eficiencia y la competitividad. Sin embargo, a medida que las organizaciones aprovechan este poder, también enfrentan un desafío crítico: garantizar la soberanía y el cumplimiento de los derechos de los titulares de los datos personales.

El manejo inadecuado de la información puede exponer a las empresas a graves sanciones y, peor aún, comprometer la confianza de los clientes. Un ejemplo de esto es el caso de una empresa de transportes, sancionada por la Agencia Española de Protección de Datos (AEPD) por incumplimientos en la gestión de datos personales en su cadena de suministro.

¿Qué pasó?

  • Una clienta realizó una compra online en Carrefour (supermercado español) y esperaba recibir su paquete a través de la empresa de transportes.

  • La clienta recibió una llamada del repartidor, al no estar en casa, solicitó que se entregara el paquete a un vecino identificado como B.B.B..

  • Sin embargo, el paquete fue entregado a un tercero desconocido, C.C.C., quien lo recibió sin validación alguna.

  • El paquete contenía nombre, dirección, DNI, teléfono de la clienta, exponiéndola a posibles riesgos de fraude.

La Resolución de la AEPD: La empresa de Transportes es Responsable del Tratamiento

A efectos de determinar quién es el responsable del tratamiento de los datos personales la AEPD tuvo en consideración a los diferentes actores de la cadena de suministro:

1.- Carrefour: quien encargaba a una empresa de logística la entrega de mercadería comprada en línea,

2.- Empresa de logística, quien, a su vez, contrataba a la empresa de transportes para efectuar la entrega.

3.- Empresa de Transporte, a cargo de la entrega, quien, en recurso de reposición, alegó que subcontrataba la entrega a otro prestador de servicios de transporte, quien a su vez, delegaba la entrega en un contratista autónomo ajeno de su control.

Con estos antecedentes, además de revisar los contratos suscritos (verbales y escritos) entre los diversos actores, la AEPD determinó que la empresa de transportes (Nº 3) es la responsable del tratamiento por ser quien determinaba los fines y medios del tratamiento de datos personales conforme el artículo 4.7 del RGPD, procediendo a sancionarla con una multa de 70 mil euros por:

→ No implementar medidas de seguridad adecuadas para evitar accesos no autorizados (art. 32 RGPD).

→ Infringir los principios de integridad y confidencialidad (art. 5.1.f RGPD).

¿Las empresas de Transportes son Responsables o Encargados del Tratamiento?

Según el criterio de la AEPD, expuesto en diversos procedimientos sancionadores e informes jurídicos, la determinación de si una empresa de transportes actúa como responsable o encargado del tratamiento dependerá de las circunstancias específicas de cada caso. Para ello, se analizará la relación jurídica establecida entre los distintos sujetos intervinientes en la cadena de suministro, sus obligaciones contractuales concretas y cualquier disposición legal aplicable que regule la correcta prestación del servicio.

¿Qué pasaría en Chile bajo la nueva Ley de Protección de Datos?

Con la reforma a la Ley 19.628 mediante la Ley 21.719, la normativa ahora es más estricta en cuanto a la responsabilidad en el tratamiento de datos personales. Si este caso ocurriera en Chile, la empresa de transportes se enfrentaría a:

  • Multa por vulnerar el deber de secreto o confidencialidad establecido en el artículo 14 bis (infracción grave, artículo 34 ter letra i).

  • Multa por vulnerar o infringir las obligaciones de seguridad en el tratamiento de los datos personales establecidas en el artículo 14 quinquies (infracción grave, artículo 34 ter letra j)

  • Multa por incumplimiento del artículo 15 bis relativo a las obligaciones del Encargo de Tratamiento (infracción leve: cometer cualquier otra infracción a los derechos y obligaciones establecidas en esta ley, artículo 34 bis letra f)

Es decir, una empresa de transportes que se vea sometida a un procedimiento sancionador por parte de la nueva Agencia en Chile, por hechos similares a los relatados en el caso español, podría enfrentar multas que en su totalidad superen los 1.700 millones de pesos:

  • El monto de las multas por cada infracción grave puede ascender hasta 10 mil UTM (más de 680 millones de pesos chilenos) o en caso de reincidencia hasta el 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario.

  • El monto de la multa por la infracción leve puede ascender hasta 5 mil UTM (más de 340 millones de pesos chilenos).

Lecciones para empresas del sector logístico y e-commerce

Para evitar sanciones y riesgos reputacionales, las empresas deben:

  • Definir correctamente los roles de responsabilidad en el tratamiento de datos. Es fundamental revisar la relación jurídica con los distintos intervinientes y asegurarse de que los contratos reflejen correctamente las obligaciones de cada parte.

  • Adoptar medidas técnicas y organizativas que minimicen los riesgos. Implementar mecanismos como validación de identidad en la entrega, cifrado de datos personales y auditorías periódicas en la cadena de suministro ayuda a garantizar la seguridad de la información

  • Formalizar contratos con subcontratistas. La falta de acuerdos escritos con proveedores logísticos o transportistas puede generar descontrol en la gestión de datos personales. Se deben establecer contratos de encargo del tratamiento que regulen claramente las responsabilidades, las medidas de seguridad y las condiciones bajo las cuales los datos pueden ser tratados.

  • Garantizar la trazabilidad y supervisión en el tratamiento de datos. Es esencial contar con sistemas de seguimiento y control que permitan detectar incidentes de seguridad y responder de manera rápida y efectiva.

  • Capacitar a su personal y colaboradores sobre protección de datos. La formación en buenas prácticas y cumplimiento normativo es clave para evitar errores que expongan información personal a terceros no autorizados.

Conclusión: Datos protegidos, clientes satisfechos

El uso de datos en logística además de enfocarse en eficiencia y optimización, debe también tener presente la protección de datos personales y su correspondiente cumplimiento normativo. La falta de control sobre la información puede generar sanciones económicas, daño reputacional y pérdida de confianza de los clientes.

¿Está tu empresa preparada para la nueva regulación chilena?

Para conocer en detalle las resoluciones de la AEPD puedes acceder a los siguientes links:

https://www.aepd.es/documento/ps-00272-2023.pdf

https://www.aepd.es/documento/reposicion-ps-00272-2023.pdf

DATLIA SpA

Abogados Digitales

CONTACTO

ENLACES DE INTERÉS

consultas@datlia.com

dpd@datlia.com

© 2025. Todos los derechos son reservados.

Abogado Digital en línea

Delegado de Protección de Datos

Política de Privacidad Datlia

Antonio Bellet 193, OF 1210. Providencia

Santiago de Chile | 🇨🇱

Aviso Legal

Política de Seguridad de la Información