La nueva sanción de Glovo no tiene nada que ver con sus riders. La empresa tecnológica ha sido sancionada por la Agencia Española de Protección de Datos (“AEPD”) con una multa de 25.000 Euros. Ha sido por no contar con la figura de Delegado de Protección de Datos (“DPO”) tras la denuncia interpuesta por parte de dos particulares contra Glovo en julio del año 2019.

 

Glovo se convierte en la primera compañía en España en ser multada por este motivo

En este sentido, si bien la empresa contaba desde antes de la interposición de la denuncia por estos particulares con un comité de protección de datos que se encargaba de todas las cuestiones en materia de protección de datos, la resolución de la AEPD especifica que Glovo no tenía nombrado a ninguna persona concreta como DPO.

Glovo respondió, en un intento por evitar la sanción de la AEPD, con el nombramiento de un DPO a principios de este año 2020. Pero este movimiento no surtió efecto y la AEPD se mantuvo firme en su decisión de sancionar a Glovo igualmente. A pesar de sus últimos intentos por adecuarse a sus obligaciones en materia de protección de datos.

No obstante lo anterior, ha de subrayarse que si bien la AEPD exige la necesidad de nombrar a un DPO cuando una empresa cuente con un número de usuarios “a gran escala”, no se explica en ningún momento cuántos usuarios son necesarios para ser considerados de “gran escala”. Es decir, no existe un límite concreto como en el caso de otros países europeos como, por ejemplo, Estonia. Este país establece un límite de 5.000 usuarios para considerar el tratamiento de sus datos como masivo.

Es decir, la ley establece casuísticas claras de empresas cuya necesidad de contar o designar a un DPO es claramente obligatoria (como serían los casos, por ejemplo, de clínicas o centros médicos). Pero es cierto que en otros supuestos de empresas de otros sectores de actividad el margen de interpretación de lo que legalmente es obligatorio en materia de protección de datos es más amplio.

Teniendo en cuenta lo anterior, es entendible que desde Glovo se recurra esta sanción. Alegando, entre otros motivos, esta argumentación mencionada en el párrafo anterior en relación con la inexactitud del número de usuarios necesarios para que sea considerado un tratamiento masivo de datos.

 

Glovo sigue teniendo oportunidad de recurrir

Es más,  Glovo ha declarado que la sanción sigue sin ser firme todavía. Por lo tanto, aún cabe la interposición de un recurso de reposición y recurso contencioso-administrativo ante la Audiencia Nacional. Afirman que “van a agotar todas las instancias judiciales para acreditar que actuó en todo momento de acuerdo con lo establecido en la normativa en materia de protección de datos”.

De todas formas, también cabe destacar desde un punto de vista objetivo, que ciertamente parece lógico entender que una empresa tecnológica como Glovo dedicada a la segmentación de datos de miles de usuarios a través de Internet, efectivamente necesite designar a un DPO. Argumentando a este respecto la propia AEPD que esta empresa tiene obligación de velar por la privacidad de sus usuarios mediante la existencia de una figura concreta de DPO que atienda personalmente las quejas y peticiones que puedan recibirse desde Glovo en lo relativo a protección de sus datos y su privacidad.

Por último, y como hemos mencionado anteriormente, en España es la primera sanción que se interpone a una empresa por esta razón. Pero no así a nivel europeo. Facebook fue sancionada por la Comisión para la

gran escala”, no especifica en ningún momento cuántos usuarios suponen la consideración de “gran escala”.

Protección de Datos de Hamburgo por no tener designado una figura de protección de datos con una multa que ascendió a 51.000 Euros en diciembre del año pasado.