Protección de datos: Glovo deberá abonar la sanción de 25.000 € tras la desestimación del recurso

• La Agencia Española de Protección de Datos (AEPD) desestima el recurso de Glovo por no tener nombrado un Delegado de Protección de Datos ante la AEPD, por lo que tendrá que abonar la sanción de 25.000 €

Por la falta de designación de un Delegado de Protección de Datos, el pasado 1 de abril de 2020, la Directora de la AEPD sancionaba a Glovo con 25.000 € por la vulneración del art. 37 del Reglamento General de Protección de Datos (RGPD) infracción tipificada en el artículo 83.4 del RGPD y calificada de grave en el artículo 73 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD).

El reclamado (Glovo) alegó en aquel Procedimiento sancionador Nº PS/00417/2019 que su actividad de tratamiento de datos personales se encontraba exenta de las obligaciones establecidas en los artículos 37 RGPD y 34 LOPGDD, pero que, no obstante, contaba con un Comité de Protección de Datos, que llevaba a cabo las funciones propias de un Delegado de Protección de Datos descritas en el artículo 39 del RGPD.

A pesar de lo anterior y durante el transcurso del propio procedimiento sancionador, Glovo comunicó a la AEPD el nombramiento de su Delegado de Protección de Datos. No conforme con ello, en julio de 2020 presentaba recurso de reposición ante la sanción impuesta, argumentando que, aunque era cierto que en su política de privacidad no aparecen los datos del Delegado de Protección de Datos, esto no frustraba la posibilidad de comunicarse con él por los múltiples canales existentes que el reclamado había puesto a su disposición.

Examinado el recurso de reposición (Nº RR/00289/2020) interpuesto por Glovo, la Directora de la AEPD reitera que las alegaciones ahora presentadas ya fueron analizadas y desestimadas en la Resolución recurrida. De igual forma, considera que “la falta de designación de Delegado de Protección de Datos, al realizar la reclamada un tratamiento de datos personales a gran escala, da lugar a la vulneración del artículo 37.1b) del RGPD en relación con el artículo 34 de la LOPDGDD”.

Sostiene que, “en el momento de iniciarse el procedimiento sancionador, al acceder a la página web del reclamado (…), no se hacía mención al Delegado de Protección de Datos de la reclamada, como figura garante del cumplimiento de la normativa de la protección de datos de las organizaciones”. Por último, argumenta la Directora de la AEPD que, “en el presente recurso de reposición, el recurrente no ha aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada”.

Consecuencia de todo ello, se desestima el recurso de reposición interpuesto y se advierte al sancionado que la suma de 25.000 € deberá hacerla efectiva una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto en el art. 98.1.b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el art. 68 del Reglamento General de Recaudación.