La Agencia Española de Protección de Datos (AEPD) ha sancionado con 25.000 euros a la empresa Glovo por no haber designado Delegado de Protección de Datos (DPO), cuando debería haber cumplido con dicha obligación conforme al artículo 37.1 b) del RGPD y 34 de la LOPDGDD, puesto que realiza tratamientos masivos de datos.
La sancionada alega en su defensa que no ha designado DPO al considerar que no se encuentra entre los supuestos del artículo 37 del RGPD y 34 de la LOPDGDD, pero que dispone de un Comité de Protección de Datos, subcomité y departamento legal que llevan a cabo las funciones propias de DPO descritas en el artículo 39 del RGPD. Glovo procedió a la designación de un DPO tras el inicio del procedimiento sancionador.
La AEPD considera que la empresa realiza un tratamiento de datos personales a gran escala, por lo que la falta de designación de DPO supone una infracción grave conforme al artículo 73 de la LOPDGDD y 83.4 del RGPD. La AEPD ha graduado la sanción en aplicación de los siguientes agravantes previstos en el artículo 83.2 del RGPD: el número de interesados afectados (ya que Glovo realiza tratamientos de datos personales a gran escala por el volumen de clientes que tiene) y afecta a datos identificadores básicos.
Recordemos los supuestos en los que es obligatorio designar un DPO:
-
-
- El tratamiento de los datos corre a cargo de una autoridad u organismo público;
- Las actividades y operaciones principales del responsable de datos requieren seguimiento regular y sistemático a gran escala;
- Las actividades y operaciones principales del responsable requieren tratamientos a gran escala de categorías especiales de datos personales que tienen que ver condenas e infracciones penales.
Por su parte, la LOPDGDD establece concretamente que las siguientes entidades están obligadas a designar DPO:
-
- Colegios profesionales y sus consejos generales
- Centros docentes
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas
- Prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles
- Entidades de crédito
- Establecimientos financieros de crédito
- Entidades aseguradoras y reaseguradoras
- Empresas de servicios de inversión
- Distribuidores y comercializadores de energía eléctrica y de gas natural
- Entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude y los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo
- Entidades que desarrollen actividades de publicidad y prospección comercial en relación a los tratamientos de preferencias y elaboración de perfiles
- Centros sanitarios
- Entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas
- Operadores que desarrollen la actividad de juego
- Empresas de Seguridad Privada
- Federaciones deportivas
- Quienes desempeñen las actividades de Seguridad Privada
-