El 2 de febrero de 2024, la Agencia Española de Protección de Datos, AEPD, sancionó a la multinacional con sede en Barcelona, Glovo, a pagar 550.000€ por la transferencia de datos personales de 7.073 de sus riders fuera de España. Entre estos datos se encontraba información sobre la geolocalización en tiempo real, valoraciones, tiempos de entrega y comunicaciones intercambiadas con los usuarios de la plataforma. Esta acción constituyó una violación de la privacidad de los riders y un tratamiento indebido de sus datos personales, en contradicción con el Reglamento General de Protección de Datos 2016/679 (RGPD).
El origen de este caso se remonta al año 2020, cuando la autoridad italiana de Protección de Datos, Garante per la Protezione dei Dati Personali, detectó irregularidades en el manejo de datos de los repartidores de Glovo en Italia. Dado que se trata de una empresa española, la investigación fue posteriormente trasladada a la AEPD, la cual llevó a cabo una inspección presencial en las instalaciones de Glovo. Durante esta inspección, se constató que todos los usuarios de la plataforma que tenían activado el permiso "EU User Access" podían acceder a los datos de todos los repartidores de países de la Unión Europea.
Vulneraciones legales en las que ha incurrido la empresa
De acuerdo con la resolución PS/00209/2022 de la AEPD, Glovo ha infringido los siguientes artículos del RGPD:
👉 Artículo 13: Información que deberá facilitarse cuando los datos personales se obtengan del interesado
Cuando se recojan datos personales de una persona, esta deberá ser informada de los siguientes parámetros:
a) Identidad y datos de contacto del responsable o de su representante y del delegado de protección de datos;
b) Fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
c) Intereses legítimos del responsable;
d) Destinatarios de esos datos personales y, en su caso, los países a los cuales se van a transferir;
f) Plazo de conservación de esos datos;
g) Información sobre el derecho de rectificación, modificación y suspensión de la recopilación de datos personales del usuario. Y derecho a presentar una reclamación en caso de que el responsable del tratamiento de datos personales no cumpla con sus obligaciones legales;
h) Derecho a ser informado de las decisiones automatizadas.
En el presente caso, la única información que no se proporcionaba a los riders era la referente al sistema de "excellence score", sistema basado en decisiones automatizas. De dicho sistema se debía informar sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado, según se establece en el artículo 13.2, apartado f).
Como solo se incumplía con este apartado, la AEPD indica una disminución de la culpa en los hechos, por lo que se considera conforme a Derecho no imponer sanción consistente en multa administrativa y sustituirla por un apercibimiento a Glovo.
👉 Artículo 25: Protección de datos desde el diseño y por defecto
Este artículo establece que el responsable del tratamiento de datos aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y, una vez obtenidos, deben ser seudonimizados.
En el caso de Glovo, se esperaba que la empresa implementara medidas organizativas y técnicas adecuadas en su plataforma para proteger los datos de sus trabajadores. Sin embargo, el sistema utilizado por la empresa permitía el acceso a datos de repartidores que no se encontraban en el país del usuario que realizaba el acceso, lo cual contraviene el principio de minimización y evidencia la falta de un análisis de riesgos adecuado para la protección de los derechos y libertades de sus repartidores.
👉 Artículo 32: Seguridad del tratamiento
Para garantizar un nivel de seguridad adecuado, el responsable y el encargado del tratamiento de datos deberán implementar medidas que pueden incluir:
a) el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad y resiliencia de los sistemas del tratamiento; c) la capacidad de restauración del sistema en caso de que sufra algún incidente; d) el proceso de verificación, evaluación y valoración de medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Durante la inspección presencial realizada en febrero y marzo de 2020, Glovo indicó que se habían llevado a cabo auditorías que abarcaban la seguridad de los datos personales. Sin embargo, la empresa no cuenta con ninguna certificación de seguridad.
Los deberes mencionados en los artículos previos guardan una estrecha relación con la figura del Delegado de Protección de Datos o DPD/DPO, definido en el Artículo 37 del RGPD.
👉 Artículo 37: Designación del delegado de protección de datos
El delegado de protección de datos es el responsable de una empresa de supervisar, de forma independiente y confidencial los datos personales conforme a la legislación vigente. Solo será necesario designar a un delegado de protección de datos cuando la empresa realice a gran escala un tratamiento de datos sensibles.
A pesar de que Glovo ya haya designado a un delegado de protección de datos, en el procedimiento PS/00417/2019, del 1 de abril de 2020, la directora de la AEPD resolvió imponer a Glovo una multa de 25.000€ por la infracción de este artículo.
En resumen, el caso de Glovo y la sanción impuesta por la Agencia Española de Protección de Datos subrayan la necesidad de las empresas de cumplir rigurosamente con las normativas de protección de datos establecidas por el Reglamente General de Protección de Datos. Sin embargo, ¿es esta sanción definitiva? A pesar de la determinación de la AEPD, la situación aún no se ha resuelto por completo, ya que la empresa ha presentado un recurso ante la Audiencia Nacional.
“Lo que todo el mundo debería saber sobre la geolocalización es la inteligencia comercial”. Caso Banca.
Fuentes:
elDiario, “Protección de Datos multa a Glovo con 550.000 euros por violar la privacidad de los repartidores”
El Mundo, “La AEPD multa con 550.000 euros a Glovo por vulnerar el tratamiento de datos de sus 'riders'
Noticias Jurídicas, “La UE aprueba la ley rider europea para controlar plataformas digitales y sus algoritmos”.
BOE, Ley 12/2021, de 28 de septiembre, por la que se modifica el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, para garantizar los derechos laborales de las personas dedicadas al reparto en el ámbito de plataformas digitales.
BOE, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la directiva 95/46/CE (Reglamento general de Protección de Datos)
Grupo de Trabajo sobre Protección de Datos del Artículo 29 sobre Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679.
Comisión Europea, "¿Mi organización debe tener un delegado de protección de datos (DPD)?"
CincoDías, "La ley rider europea refuerza los derechos de los trabajadores de las plataformas digitales"
BOE, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
AEPD, "derecho de rectificación".
BOE, Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación.
Ministerio de política territorial y memoria democrática, "derecho de acceso".
Google Transparency Report, "Requests to delist content under European privacy law".
AEPD, "Expediente sancionador a Glovo" N.º: PS/00209/2022 IMI Reference: A56 78728- Case Register 89995.
Comments