Glovo vuelve a ser protagonista por una nueva sanción. Esta vez la Agencia Española de Protección de Datos (AEPD) sanciona a la compañía con una multa de 25.000€ por no contar con un delegado de protección de datos (DPO).
Se convierte en la primera compañía sancionada por este motivo en España.
La resolución emitida por la AEPD está motivada por la denuncia que presentaron dos particulares contra la compañía en julio de 2019. Aunque por aquel momento Glovo ya contaba con un comité de protección de datos que se encargaba de realizar las gestiones del delegado. Con este argumento se defendió la compañía en el momento que fue apercibida de la investigación. Aun así, lo cierto es que no contaba con ningún DPO, aunque hubiera un comité que se encargara de dichas tareas.
La misma AEPD comprobó en la pagina web de la compañía que dicho comité existía, pero no había ningún cargo delegando a alguien como DPO. En este sentido, Salvador Silvestre, socio de Écija establece que «muchas veces, las compañías, por el tipo de actividad que realizan, no saben bien si deben nombrar a un responsable de este tipo o no».
Para cuando la compañía nombró a un DPO a finales de enero de 2020, la sanción ya estaba en camino.
La motivación de la resolución asegura que la compañía realiza un tratamiento de datos personales a gran escala, utilizando indicadores básicos como la geolocalización de usuarios de la plataforma. En este sentido, Silvestre asegura que la compañía utilizará esta baza para recurrir, ya que «ni en la resolución ni en el reglamento de protección de datos ni en ninguna norma se establece un número de usuarios por los que sea gran escala. En otros países como en Estonia sí que se marca un límite en 5.000 usuarios para ser considerado como tratamiento masivo, pero en España no».
Finalmente, Glovo asegura que sus clientes “siempre han tenido plenas garantías de que sus derechos estaban protegidos, a través primero de un órgano colegiado que era el máximo garante de los derechos de los interesados y del cumplimiento de la normativa de protección de datos, y mediante el posterior nombramiento de un DPO, cuando el número de clientes lo requirió”.
