La AEPD multa a Glovo por no disponer de Delegado de Protección de Datos

glovo-delegado-de-proteccion-de-datos-conversia-shutterstock_1571513500Glovo se ha convertido en la primera empresa en ser sancionada en España por no contar con un Delegado de Protección de Datos. En este post de Conversia te explicamos a cuánto asciende la multa y si la empresa tiene previsto incorporar esta figura obligatoria según la normativa vigente en materia de Protección de Datos. 

Glovo sin DPD a pesar de tratar datos a gran escala

Normalmente Glovo, así como otras empresas dedicadas a la compra, recogida y envío de pedidos en un período de tiempo muy reducido, son noticia por recibir sanciones por parte de Inspección de Trabajo, debido a la polémica surgida con la condición de falsos autónomos de los repartidores. Sin embargo, en esta ocasión, la compañía ha sido multada por un tema diferente: por no disponer de Delegado de Protección de Datos (DPD).

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 25.000 euros a Glovo por no contar con la figura del DPD en el momento en el que fue denunciada por dos particulares. La denuncia se produjo en julio de 2019, un año y dos meses después que fuera de plena aplicación el Reglamento General de Protección de Datos (RGPD), normativa que obliga a disponer de este perfil en determinadas empresas y organismos públicos.

Ante la denuncia, la empresa de reparto alegó que contaba con un comité de protección de datos, que realizaba las gestiones encargadas al DPD. No obstante, al visitar la página web de Glovo, la AEPD comprobó que dicho comité existía, pero que no se había nombrado a nadie como DPD. Por este motivo, la Agencia ha resuelto multar a la compañía, ya que considera que la app realiza un tratamiento de datos personales a gran escala, afectando indicadores básicos (como la geolocalización de los usuarios).

Glovo defiende que contaba con un comité de protección de datos

Desde Glovo han anunciado que “agotarán todas las instancias judiciales para acreditar que se actuó en todo momento de acuerdo con lo establecido en la normativa de protección de datos”. Asimismo, la compañía afirma que sus clientes “siempre han tenido plenas garantías de que sus derechos estaban protegidos, a través primero de un órgano colegiado que era el máximo garante de los derechos de los interesados y del cumplimiento de la normativa de protección de datos, y mediante el posterior nombramiento de un DPD, cuando el número de clientes lo requirió”.

Y es que desde principios de este 2020, Glovo ya ha nombrado a un Delegado de Protección de Datos, tal y como se puede comprobar en su página web. Además, es probable que la compañía decida recurrir la multa ya que ni en el RGPD ni en la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) establece el número de usuarios concreto por los que se entiende una “gran escala”.

Primera empresa en recibir esta sanción en España

Con esta sanción, Glovo se ha convertido en la primera empresa en España en ser multada por no tener designado un DPD. Sin embargo, países como Bélgica, Austria y Alemania ya habían impuesto estas multas. En el caso alemán, en diciembre de 2019, la Comisión para la Protección de Datos de Hamburgo impuso una multa de 51.000 euros a Facebook por no contar con un DPD. Bélgica hizo lo mismo con Proximus (50.000 euros), la empresa más grande de telecomunicaciones del país.

Es importante tener en cuenta que, según lo dispuesto en el Reglamento General de Protección de Datos, concretamente en el artículo 37.1 b), las empresas que manejan perfiles de usuarios de forma masiva (como es el caso de la App de Glovo) están obligadas a contar con la figura del Delegado de Protección de Datos. Específicamente, el RGPD establece que todo responsable y encargado del tratamiento designarán un DPD, siempre que las actividades principales de estos consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. Asimismo, el DPD es el responsable de velar por la privacidad de los usuarios y debe facilitar una forma de contacto para poder atender sus quejas directamente.

Descubre más noticias relacionadas con el Delegado de Protección de Datos en este blog de Conversia.