Delivery de datos

Luego de que la Agencia Española de Protección de Datos sancionara a la aplicación Glovo por 25.000 euros tras comprobar que la empresa no tenía nombrado un Delegado de Protección de Datos, la misma interpuso un recurso contencioso administrativo cuestionando la decisión.

La firma se dedica al desarrollo y gestión de una plataforma tecnológica que permite a las tiendas ofertar o insertar productos o servicios mediante la web o app administrada por la empresa, para que los usuarios y consumidores puedan acceder a ellos, intermediando a su vez en la entrega del producto.

La resolución sancionatoria, hacía referencia al incumplimiento de la obligación del art. 37 RPD que obliga en determinados supuestos a designar un delegado de protección de datos, sin embargo, la recurrente manifestaba que su actividad de tratamiento de datos estaba exenta de esas obligaciones, aunque igual contaba con un comité de protección de datos, y terminó designando a un delegado tras el proceso.

La agencia actuó sobre la base de dos reclamos en los que se cuestionaba que la empresa no tenga un delegado y que para realizar una queja se debía recurrir a un formulario web que debía enviarse vía postal junto a una fotocopia de DNI a la sede de la empresa.

La agencia actuó sobre la base de dos reclamos en los que se cuestionaba que la empresa no tenga un delegado y que para realizar una queja se debía recurrir a un formulario web que debía enviarse vía postal junto a una fotocopia de DNI a la sede de la empresa.

En la demanda, la actora manifestó que cumplía con sus obligaciones de protección de datos personales, por lo que la infracción era inexistente, porque su actividad no son operaciones de tratamiento que requieran observación habitual y sistemática de interesados a gran escala como requiere el art. 37 RGPD. Que además su parte no realiza las actividades necesarias para que se configure el tipo objetivo de la infracción, ya que no permite elaborar perfiles de clientes a gran escala, ni se realiza perfiles de clientes cookies, tampoco se monitoriza, ni rastrea ni se hace seguimiento de los clientes dentro de la plataforma, y la app no utiliza cookies ni tecnología de rastreo.

Que tampoco podía acreditar la AEPD ninguno de los supuestos que podrían justificar la sanción, violando la presunción de inocencia y habiendo incurrido en un error invencible o en su defecto vencible que atenúe la sanción, lo que fue rechazado por el abogado del Estado.

La Audiencia Nacional de Madrid falló desestimando el recurso ... tomaron en cuenta que el Comité ...no reemplazaba la obligación de tener un delegado, cuando ni siquiera se informó a la Agencia de la existencia de ese comité ni se lo detalló en su web, y tras conocer la sanción inmediatamente se designó uno, pero además porque la empresa por su actividad desplegada accedía a datos personales de los usuarios y a su localización, contando con cuantiosos usuarios lo que implicaba un tratamiento a gran escala.

Finalmente, en el caso “GLOVOAPP23, S.L c/ Agencia Española De Protección De Datos s/ Procedimiento ordinario” la Sala de lo Contencioso – Administrativo de la Audiencia Nacional de Madrid falló desestimando el recurso intentado con costas.

Para decidirlo tomaron en cuenta que el Comité que alegaba tener la compañía no reemplazaba la obligación de tener un delegado, cuando ni siquiera se informó a la Agencia de la existencia de ese comité ni se lo detalló en su web, y tras conocer la sanción inmediatamente se designó uno, pero además porque la empresa por su actividad desplegada accedía a datos personales de los usuarios y a su localización, contando con cuantiosos usuarios lo que implicaba un tratamiento a gran escala.

La Sala entendió que al afectar datos identificadores personales básicos como el nombre y apellido, el domicilio, exige el cumplimiento de las garantías necesarias de protección y la firma debía cumplir la normativa para proteger y preservar el derecho de las personas ante cualquier intromisión.