top of page
  • Foto del escritorLegalmentech

La AEPD sanciona a Glovo con 550.000€ por no proteger los datos de 7.073 riders en España

Actualizado: 29 abr


El 2 de febrero de 2024, la Agencia Española de Protección de Datos, AEPD, sancionó a la multinacional con sede en Barcelona, Glovo, a pagar 550.000€ por la transferencia de datos personales de 7.073 de sus riders fuera de España. Entre estos datos se encontraba información sobre la geolocalización en tiempo real, valoraciones, tiempos de entrega y comunicaciones intercambiadas con los usuarios de la plataforma. Esta acción constituyó una violación de la privacidad de los riders y un tratamiento indebido de sus datos personales, en contradicción con el Reglamento General de Protección de Datos 2016/679 (RGPD).


El origen de este caso se remonta al año 2020, cuando la autoridad italiana de Protección de Datos, Garante per la Protezione dei Dati Personali, detectó irregularidades en el manejo de datos de los repartidores de Glovo en Italia. Dado que se trata de una empresa española, la investigación fue posteriormente trasladada a la AEPD, la cual llevó a cabo una inspección presencial en las instalaciones de Glovo. Durante esta inspección, se constató que todos los usuarios de la plataforma que tenían activado el permiso "EU User Access" podían acceder a los datos de todos los repartidores de países de la Unión Europea.



Vulneraciones legales en las que ha incurrido la empresa


De acuerdo con la resolución PS/00209/2022 de la AEPD, Glovo ha infringido los siguientes artículos del RGPD:


👉 Artículo 13: Información que deberá facilitarse cuando los datos personales se obtengan del interesado

Cuando se recojan datos personales de una persona, esta deberá ser informada de los siguientes parámetros:

a) Identidad y datos de contacto del responsable o de su representante y del delegado de protección de datos; b) Fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; c) Intereses legítimos del responsable; d) Destinatarios de esos datos personales y, en su caso, los países a los cuales se van a transferir; f) Plazo de conservación de esos datos; g) Información sobre el derecho de rectificación, modificación y suspensión de la recopilación de datos personales del usuario. Y derecho a presentar una reclamación en caso de que el responsable del tratamiento de datos personales no cumpla con sus obligaciones legales; h) Derecho a ser informado de las decisiones automatizadas.

En el presente caso, la única información que no se proporcionaba a los riders era la referente al sistema de "excellence score", sistema basado en decisiones automatizas. De dicho sistema se debía informar sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado, según se establece en el artículo 13.2, apartado f).


Como solo se incumplía con este apartado, la AEPD indica una disminución de la culpa en los hechos, por lo que se considera conforme a Derecho no imponer sanción consistente en multa administrativa y sustituirla por un apercibimiento a Glovo.


👉 Artículo 25: Protección de datos desde el diseño y por defecto


Este artículo establece que el responsable del tratamiento de datos aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y, una vez obtenidos, deben ser seudonimizados.


En el caso de Glovo, se esperaba que la empresa implementara medidas organizativas y técnicas adecuadas en su plataforma para proteger los datos de sus trabajadores. Sin embargo, el sistema utilizado por la empresa permitía el acceso a datos de repartidores que no se encontraban en el país del usuario que realizaba el acceso, lo cual contraviene el principio de minimización y evidencia la falta de un análisis de riesgos adecuado para la protección de los derechos y libertades de sus repartidores.


👉 Artículo 32: Seguridad del tratamiento

Para garantizar un nivel de seguridad adecuado, el responsable y el encargado del tratamiento de datos deberán implementar medidas que pueden incluir:

a) el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad y resiliencia de los sistemas del tratamiento; c) la capacidad de restauración del sistema en caso de que sufra algún incidente; d) el proceso de verificación, evaluación y valoración de medidas técnicas y organizativas para garantizar la seguridad del tratamiento.


Durante la inspección presencial realizada en febrero y marzo de 2020, Glovo indicó que se habían llevado a cabo auditorías que abarcaban la seguridad de los datos personales. Sin embargo, la empresa no cuenta con ninguna certificación de seguridad.


Los deberes mencionados en los artículos previos guardan una estrecha relación con la figura del Delegado de Protección de Datos o DPD/DPO, definido en el Artículo 37 del RGPD.


👉 Artículo 37: Designación del delegado de protección de datos

El delegado de protección de datos es el responsable de una empresa de supervisar, de forma independiente y confidencial los datos personales conforme a la legislación vigente. Solo será necesario designar a un delegado de protección de datos cuando la empresa realice a gran escala un tratamiento de datos sensibles.


A pesar de que Glovo ya haya designado a un delegado de protección de datos, en el procedimiento PS/00417/2019, del 1 de abril de 2020, la directora de la AEPD resolvió imponer a Glovo una multa de 25.000€ por la infracción de este artículo.


En resumen, el caso de Glovo y la sanción impuesta por la Agencia Española de Protección de Datos subrayan la necesidad de las empresas de cumplir rigurosamente con las normativas de protección de datos establecidas por el Reglamente General de Protección de Datos. Sin embargo, ¿es esta sanción definitiva? A pesar de la determinación de la AEPD, la situación aún no se ha resuelto por completo, ya que la empresa ha presentado un recurso ante la Audiencia Nacional.


Lo que todo el mundo debería saber sobre la geolocalización es la inteligencia comercial”. Caso Banca.
 

Fuentes:


Comentários


bottom of page