25.000 euros de multa por no contar con un DPD
La Audiencia Nacional ha confirmado la multa impuesta a la empresa de servicios de mensajería Glovo por la Agencia Española de Protección de Datos (AEPD) por no contar con un delegado de protección de datos (DPD). La sanción, de 25.000 euros, fue impuesta por la AEPD en agosto de 2020 por no disponer de una figura física o jurídica a la que dirigir las reclamaciones relacionadas con la protección de datos personales de los usuarios de la plataforma.
Glovo interpuso un recurso contencioso-administrativo ante la Audiencia Nacional en contra de esta resolución, alegando que contaban con un comité de protección de datos que realizaba todas las gestiones encargadas al delegado, pero la AEPD observó que no tenía a nadie nombrado en ese puesto. La empresa manifestó que de 2014 a 2018 la función de protección de datos la realizaba el servicio jurídico de la compañía y en 2018 y 2019 se llevaba a cabo a través del comité y un subcomité.
La Audiencia Nacional ha considerado que la actividad que realiza la empresa exige, necesariamente, que el usuario aporte su información personal y que los datos «son seguidos de manera habitual y sistemática por Glovo al estar ante una aplicación popularísima cuyas técnicas para obtener datos se emplean en actividades de mercadotecnia». Por tanto, se exige que la empresa efectúe un tratamiento de datos personales debiendo el encargado del tratamiento cumplir con absoluta plenitud las disposiciones del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en el ejercicio de su actividad.
Además, los magistrados han señalado que una vez que el usuario introduce sus datos en la aplicación, recibe información de ofertas, oportunidades y descuentos, y que cualquier cantidad relevante puede poner en riesgo los datos de los usuarios que emplean la aplicación. Por tanto, la falta de un delegado de protección de datos supone una infracción del RGPD y LOPDGDD.
Es importante recordar que la figura del DPD, que puede ser una persona física o jurídica, está establecida en el artículo 37 del RGPD y es una figura clave en la protección de datos personales, ya que es la encargada de garantizar que el tratamiento de los datos personales se realiza de forma adecuada y de recibir y atender las reclamaciones de los usuarios en relación con la protección de sus datos personales.