En agosto de 2020, la empresa Glovo fue multada con 25.000 euros, pero esta vez, el asunto no tenía nada que ver con los riders. Y es que la Agencia Española de Protección de Datos (AEPD) le sancionó por no tener un delegado de Protección de Datos (DPO) al que dirigir las reclamaciones.
Contra esta resolución, Glovo interpuso un recurso contencioso-administrativo ante la Audiencia Nacional y ahora, más de dos años después, ha dictado sentencia pero no le ha dado la razón a la empresa al considerar que ha quedado acreditada la falta de esta persona física o jurídica.
Glovo es una entidad que, según ha descrito la sentencia consultada por Confilegal, se dedica a desarrollar y gestionar una plataforma tecnológica que a través de la aplicación móvil o la web permite a determinadas tiendas locales ofertar sus productos para que los usuarios puedan comprarlos. De tal forma que puedan adquirirlos inmediatamente.
El fallo del recurso administrativo 1439/2020 fue dictado el 18 de noviembre de 2022 por los magistrados Begoña Fernández (ponente), Eduardo Menéndez, (presidente) Lourdes Sanz, Fernando de Mateo y Nieves Buisan.
El recurso se interpone contra la resolución de la AEPD que surgió porque dos personas denunciaron el 21 de mayo y el 4 de junio de 2019 que la empresa no contaba con delegado de Protección de Datos. Por tanto, para ejercer el derecho de acceso había que descargar un formulario del portal web, rellenarlo y enviarlo por vía postal junto con una fotocopia del DNI a la sede de la empresa. Cuando tuvo constancia de la reclamación nombró a finales de enero de 2020 a un responsable de protección de datos, pero ya era tarde.
Hay que recordar que esta figura, que puede ser una persona física o jurídica, viene establecida en el artículo 37 del Reglamento General de Protección de Datos (RGPD).
Glovo alegó que tenía un comité de protección de datos
Glovo, en la resolución, alegó que contaban con un comité de protección de datos que realizaba todas las gestiones encargadas al delegado, pero la AEPD observó que no tenía nombrado a nadie en ese puesto. Y como la empresa trataba datos personales a gran escala como, por ejemplo, la geolocalización de los usuarios que utilizan la plataforma, les multó con 25.000 euros.
Contra aquella resolución de 31 de agosto de 2020 se interpuso el recurso contencioso-administrativo. Glovo manifestó que de 2014 a 2018 la función de protección de datos lo realizaba el servicio jurídico de la empresa y en 2018 y 2019 se llevaba a cabo a través del comité y un subcomité.
Asimismo, ha explicado que siempre ha atendido de manera correcta todas las solicitudes de gestión de derechos de los interesados a través del comité; que no realiza una monitorización, rastreo ni seguimiento de los clientes dentro de la plataforma; que la app no permite elaborar perfiles a gran escala y que ha sido sancionada por unos hechos que no son constitutivos de infracción administrativa.
Pues “la AEPD no contiene ningún razonamiento, cálculo o criterio que permita sostener de forma objetiva que Glovo realiza un tratamiento a gran escala” y que tampoco ha establecido el número de afectados o cifras concretas. Por ello, solicitaron la nulidad de la multa.
El Abogado del Estado en su escrito de contestación a la demanda se opuso a la estimación con imposición de costas a Glovo al considerar que “es un hecho incontrovertido que la actora no tenía asignado un DPD y es incuestionable puesto que cuando conoció las reclamaciones procedió a nombrarlo y a comunicarlo a la AEPD».
La Audiencia Nacional desestima el recurso: «Es una aplicación popularísima»
La Audiencia Nacional ha desestimado el recurso. Ha considerado que la actividad que realiza la empresa exige, necesariamente, que el usuario aporte su información personal y que los datos “son seguidos de manera habitual y sistemática por Glovo al estar ante una aplicación popularísima cuyas técnicas para obtener datos se emplean en actividades de mercadotecnia”.
Y, por ello, se exige que la empresa efectué un tratamiento de datos personales debiendo el encargado del tratamiento cumplir con absoluta plenitud las disposiciones del RGPD y LO 3/2018 en el ejercicio de su actividad.
Asimismo, los magistrados han señalado que una vez que el usuario introduce sus datos en la aplicación, recibe información de ofertas, oportunidades y descuentos
«Y aunque no puede ser objeto de una determinación numérica o cuantitativa estricta precisamente porque los usuarios de apps tan populares como la recurrente son incontables, estamos ante un caso en que cualquier cantidad relevante puede poner en riesgo los datos de los usuarios que emplean la app, y siendo tantos los usuarios y por tanto los intereses afectados, éstos entran dentro de la categoría a gran escala», han apuntado.
Según ha explicado el Delegado de Protección de Datos del CGPJ Javier Sempere en su LinkedIn, se trata de una de las primeras resoluciones sancionadoras de la AEPD por carecer de este puesto.
