Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 36 000 euro mot Hispapost S.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att polisen i La Palma kontaktat AEPD då de hittat 1 404 officiellt obeställda brev. Breven var försedda med logotypen för företaget Hispapost, och kom bland annat kom från företag som La Caixa, Energía och Endesa. Efter att AEPD inlett utredningen upptäcktes ytterligare nästan 4 000 obeställda brev på Balearerna, brev som Hispapost skulle ha delat ut genom postombud. Hispapost agerade även som personuppgiftsbiträde åt flera företag för vilka man delade ut post, däribland Psa Financial och Caixabank.
Efter en genomgång av ärendet konstaterade AEPD att Hispapost underlåtit att i tid informera de personuppgiftsansvariga som företaget haft avtal med om säkerhetsöverträdelserna enligt artikel 28.3 GDPR. Sanktionsavgiften uppgick ursprungligen till 60 000 euro, men sänktes till 36 000 euro efter att Hispapost gjort en omgående betalning och erkänt sitt sitt ansvar för överträdelsen.