La famosa empresa de “riders” ha sido objeto de la primera sanción que la Agencia Española de Protección de Datos («AEPD») ha impuesto en España por la falta de nombramiento y designación de un Delegado de Protección de Datos («DPO»). La AEPD ha basado la imposición de la sanción a Glovo por incumplimiento de la obligación en la designación de un DPO al realizar actividades consistentes en operaciones de tratamientos sobre datos personales de interesados a gran escala. (artículo 37.1.b del Reglamento General de Protección de Datos o “RGPD”)
Conviene recordar que la designación de la figura del DPO (que podrá ser una persona física, o una persona jurídica) viene establecida en el artículo 37 del RGPD y en el artículo 34 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales («LOPDGDD») en los cuales se identifican una serie de actividades que llevarán consigo obligatoriamente la necesidad de designación de un DPO a través del procedimiento que la Agencia tiene establecido y accesible desde su página web; designación que será voluntaria para el resto de actividades que no se encuentren identificadas en los preceptos mencionados.
En la propia resolución, la AEPD refleja que, pese a que Glovo contase con un Comité de Protección de Datos orientado a cumplir con las funciones que emanan de la normativa de protección de datos, y pese a que una vez iniciado el procedimiento sancionador (tras una primera contestación por parte de los responsables de Glovo afirmando que ellos “no se encuentran ni entre los supuestos del art. 37 RGPD ni el del 34 LOPGDD, con lo que no tienen obligación de designar un DPD”) comunicaron en Febrero a la AEPD por los canales oficiales establecidos para ello los datos del designado como DPO, el único hecho constado es que Glovo no tenía nombrado un Delegado de Protección de datos.
Desde Glovo ya señalan que la resolución no es firme y que, por tanto, cabe la interposición de los recursos de reposición y contencioso-administrativo ante la Audiencia Nacional, afirmando que «va a agotar todas las instancias judiciales para acreditar que Glovo actuó en todo momento de acuerdo con lo establecido en la normativa de protección de datos».
Por último, señalaros que desde Trebia Abogados S.L ofrecemos los servicios de Delegado de Protección de Datos, tanto para aquellas empresas que tengan la obligación de designarlos, como para aquellas otras que aun no siendo obligatorio, quieran promover y empoderar la cultura de la privacidad en el seno de su organización.
Enlace a la resolución: https://www.aepd.es/es/documento/ps-00417-2019.pdf