Glovo, la famosa app de recogida y envío de pedidos rápidos, ha sido noticia en los últimos días por haber recibido una multa por inclumplimiento del RGPD por parte de la AEPD (Agencia Española de Protección de Datos), después de que en julio de 2019, dos personas reclamasen que Glovo no tenía designado un DPO al que poder dirigir cualquier reclamación respecto a la protección de datos. Glovo por su parte, ha indicado que sí hacía todo lo posible por garantizar la seguridad de los datos de sus usuarios. Entonces, ¿por qué se ha multado a Glovo?
PRIMERA EMPRESA EN ESPAÑA EN RECIBIR UNA SANCIÓN POR NO TENER UN PDO
En la página web de Glovo, parece ser que no se indicaba quién era el DPO, es decir, no había nadie designado con este cargo aunque si se contase con un comité encargado de todo lo referente a la protección de datos. A finales de enero de 2020 ya nombró a un DPO, pero ya era tarde para evitar la sanción.
Glovo, por su parte, señaló que no se encontraba en el momento de la sanción en ninguno de los supuestos del art. 37 del RGPD ni del art. 34 de la LOPDGDD, en los que se regulan los casos en los que es obligatoria la designación de un Delegado de Protección de Datos. Además, Glovo asegura que gracias a su Comité de Protección de Datos, se podía garantizar la seguridad de los datos personales con los que se trabaja.
LA DIFICULTAD DE SABER SI ES NECESARIO CONTAR CON UN DPO EN UNA EMPRESA
Glovo asegura que siempre ha cuidado la protección de los datos de sus usuarios y que cabe la interposición de los recursos de reposición y contencioso-administrativo ante la Audiencia Nacional.
El problema en este caso, es el mismo al que se enfrentan muchas empresas, saber si es obligatorio para ellas contar con la figura del DPO. Ante esta dificultad, en Pridatect te ayudamos a saber si en el caso de tu empresa necesitas un DPO y te damos algunos consejos que te ayudarán a evitar problemas.
Hay algunos casos en los que es más fácil saber con certeza si es obligatorio contar con un DPO. Pero hay otros supuestos en los que puede haber más dudas. En el art. 37 del RGPD se indica que es obligatorio designar a un DPO cuando se requiera la observación habitual y sistemática de los interesados a gran escala, pero, ¿que se considera exactamente estar tratando datos a “gran escala”? ¿Cuántos usuarios tiene que tener una app como Glovo para que se considere a gran escala?
Desde la AEDP se han dado criterios de lo que se considera un tratamiento de datos a gran escala, pero es algo que no está completamente definido. En el caso de Glovo, la AEPD ha considerado que en el caso de Glovo, hay una infracción grave del artículo 37 del RGPD en base al artículo 73, “inclumplimiento de la designación de un DPO”, con el agravante de tener un número de afectados muy elevado, y además se tratan elementos identificadores básicos como el nombre de usuario, email, dirección, etc., que hacen que el usuario sea identificable.
¿QUÉ HACER SI NO SE TIENE CLARO SI SE TRATAN DATOS A GRAN ESCALA?
En Glovo sí se contaba con personas expertas que se ocupaban de la protección de datos, pero también es necesario que esto esté formalizado ante la AEPD. A nivel reputacional tiene que mostrarse que sí existe esta seguridad en cuanto a la protección de datos. Si no se tiene claro si se están tratando datos a gran escala, lo más acertado sería designar al DPO, para evitar cualquier problema y ofrecer todas las garantías.
Te invitamos a ver nuestro webinar, Multas por RGPD, donde analizamos este caso junto con el de otras empresas multadas por inclumplir alguno de los puntos del RGPD.