La AEPD impone la primera multa por no haber nombrado un DPD.

La multa de 25.000€ se impone a Glovo por carecer en el momento de la reclamación y de iniciarse la instrucción de Delegado de Protección de Datos, pese a que consta que durante el periodo de investigación la empresa nombra y comunica a la AEPD el nombramiento de su Delegado de Protección de Datos (DPD).

El procedimiento sancionador se inicia a instancia de dos reclamantes que se dirigieron a la AEPD en diciembre de 2019 basandose en que Glovo (Glovoapp23 S.L.) no tenía nombrado un Delegado de Protección de Datos.

Durante al tramitación del procedimiento sancionador la empresa sostuvo (i) que no estaba obligada a nombrar un DPD al estar su actividad exenta de las obligaciones establecidas en los artículos 37 RGPD y 34 LOPGDD y (ii) que contaba con un órgano colegiado que realizaba las funciones que la ley atribuye al DPD.

La AEPD considera que la empresa en su actividad normal trata datos a gran escala y por lo tanto está obligada conforme al artículo 37.1b) del RGPD en relación con el artículo 34 de la LOPDGDD a designar un DPD y comunicar este nombramiento a la autoridad de control correspondiente.

Por otro lado, considera que al tiempo de la reclamación en al web de la empresa no se hacía ninguna mención al DPD como figura garante del cumplimiento de la normativa sobre protección de datos en la empresa.  No obstante, con fecha 31 de enero del 2020 Glovo comunica a la AEPD el nombramiento de su DPD.

La resolución califica la infracción como grave, con el agravante de afectar a un elevado número de interesados (artículo 83.2. a) RGPD) y encontrarse afectados identificadores básicos (artículo 83.2 g) del RGPD) y por lo tanto impone una multa de 25.000€.

Dos consideraciones a la vista de este caso, primero la importancia que tienen las reclamaciones de particulares ante la AEPD frente a cualquier empresa y con las motivaciones más variopintas; en segundo lugar, que resulta esencial hacer una valoración objetiva, correcta y profesional de todos y cada uno de los aspectos relativos a la normativa sobre protección de datos si se quieren evitar riesgos innecesarios.