La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción a Glovo por no tener Delegado de Protección de Datos. Sin embargo, la compañía ha mostrado su oposición a la multa ya que asegura que había incorporado en su estructura un comité de protección de datos. En este post de Conversia te explicamos el caso al completo.
Tratar datos a gran escala sin DPD
Glovo vuelve a ser noticia y en esta ocasión no es por un tema relacionado con la Inspección de Trabajo y la polémica a raíz de la condición de falsos autónomos de los riders, sino por un asunto distinto: por no contar con la figura del Delegado de Protección de Datos (DPD).
La Agencia Española de Protección de Datos (AEPD) ha multado a Glovo con 25.000 euros por no tener definida la figura del DPD en el momento en el que dos personas interpusieron la consecuente denuncia, en julio de 2019. Recordamos que el Reglamento General de Protección de Datos (RGPD), de plena aplicación desde el 25 de mayo de 2018, obliga a disponer de este perfil en determinadas empresas y organismos públicos.
Ante la acusación, la compañía de reparto manifestó que disponía de un comité de protección de datos con el mismo cometido que el DPD. No obstante, al visitar la página web de Glovo, la Agencia confirmó la existencia del comité, pero echó en falta el nombramiento de una persona como DPD. Por este motivo, la AEPD ha decidido sancionar a la empresa, al considerar que la app realiza un tratamiento de datos personales a gran escala, afectando indicadores básicos (como la geolocalización de los usuarios).
Glovo sostiene que disponía de un comité de protección de datos
Desde Glovo han anunciado que “agotarán todas las instancias judiciales para acreditar que se actuó en todo momento de acuerdo con lo establecido en la normativa de protección de datos». Asimismo, la compañía afirma que sus clientes “siempre han tenido plenas garantías de que sus derechos estaban protegidos, a través primero de un órgano colegiado que era el máximo garante de los derechos de los interesados y del cumplimiento de la normativa de protección de datos, y mediante el posterior nombramiento de un DPD, cuando el número de clientes lo requirió».
En enero de 2020, Glovo nombró a un Delegado de Protección de Datos, tal y como se puede comprobar en su página web[u1] . Además, es probable que la compañía decida recurrir la sanción ya que ni en el RGPD ni en la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) establece el número de usuarios concreto por los que se entiende una “gran escala”.
Primera compañía en recibir esta multa en España
Esta multa, ha concedido a Glovo el “honor” de convertirse en la primera compañía en España en ser sancionada por no tener designado un DPD. Sin embargo, países como Bélgica, Austria y Alemania ya habían impuesto estas multas. En el caso alemán, en diciembre de 2019, la Comisión para la Protección de Datos de Hamburgo impuso una multa de 51.000 euros a Facebook por no contar con un DPD. Bélgica hizo lo mismo con Proximus (50.000 euros), la empresa más grande de telecomunicaciones del país.
Es importante tener en cuenta que, según lo dispuesto en el Reglamento General de Protección de Datos, concretamente en el artículo 37.1 b), [u2] las empresas que manejan perfiles de usuarios de forma masiva (como es el caso de la App de Glovo) están obligadas a contar con la figura del Delegado de Protección de Datos. Específicamente, el RGPD establece que todo responsable y encargado del tratamiento designarán un DPD, siempre que las actividades principales de estos consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. Asimismo, el DPD es el responsable de velar por la privacidad de los usuarios y debe facilitar una forma de contacto para poder atender sus quejas directamente.