08
Sep
La Agencia Española de Protección de Datos ha multado a Glovo con 25.000 euros por no contar con un delegado de protección de datos tal y como establece el artículo 37 del Reglamento General de Protección de Datos.
La sanción incluye como agravante que la plataforma realice un tratamiento de datos personales «a gran escala por el número de clientes que tiene», aunque la resolución no señala cuál es ese número ni el RGPD lo deja tampoco claro. La resolución de la AEPD no es firme y cabe tanto recurso de reposición como contencioso-administrativo ante la Audiencia Nacional.
La AEPD señala como hechos probados en su resolución que la plataforma de envíos a domicilio no contaba en el momento de realizar las averiguaciones con un delegado de protección de datos y alega estar exenta de la obligación, aunque tiene un Comité de Protección de Datos que lleva a cabo funciones propias de un delgado.
También se ha constatado que Glovo ha nombrado un delegado de protección de datos a principios de año, días después de iniciarse el proceso sancionador, según señala el documento hecho público.
Con esta sanción, Glovo se ha convertido en la primera empresa en España en ser multada por no tener designado un DPD. Sin embargo, países como Bélgica, Austria y Alemania ya habían impuesto estas multas. En el caso alemán, en diciembre de 2019, la Comisión para la Protección de Datos de Hamburgo impuso una multa de 51.000 euros a Facebook por no contar con un DPD. Bélgica hizo lo mismo con Proximus (50.000 euros), la empresa más grande de telecomunicaciones del país.
Es importante tener en cuenta que, según lo dispuesto en el Reglamento General de Protección de Datos, concretamente en el artículo 37.1 b), las empresas que manejan perfiles de usuarios de forma masiva (como es el caso de la App de Glovo) están obligadas a contar con la figura del Delegado de Protección de Datos. Específicamente, el RGPD establece que todo responsable y encargado del tratamiento designarán un DPD, siempre que las actividades principales de estos consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala. Asimismo, el DPD es el responsable de velar por la privacidad de los usuarios y debe facilitar una forma de contacto para poder atender sus quejas directamente.
