La Agencia Española de Protección ha sancionado con una multa de veinticinco mil euros a la empresa GLOVO por no haber nombrado Delegado de Protección de Datos. GLOVO es una empresa que ha desarrollado aplicaciones móviles y páginas web a través de la que se gestionan todo tipo de pedidos. Está presente en más de veinte países y más de ciento cuarenta ciudades de todo el mundo. Se estima que más de siete millones de clientes en todo el mundo utilizan sus servicios, de los cuales dos se encuentran localizados en España.
Una vez analizada la resolución, pendiente de un posible recurso, en primer lugar, echamos en falta un mayor detalle de las razones por las que considera que GLOVO lleva a cabo tratamientos de datos a gran escala que es uno de los requisitos para que el nombramiento de un DPO sea obligatorio. De esta manera, habría contribuido a aclarar un concepto que, hoy en día, sigue planteando muchas dudas.
El propio Reglamento Europeo de Protección de Datos no define lo que se entiende por tratamiento a gran escala. Resulta sorprendente al tratarse de uno de los criterios para determinar si es preceptivo que una organización cuente con un Delegado de Protección o deba llevar a cabo Evaluaciones de Impacto. Podemos encontrar cierta interpretación al respecto en su considerando 91. Al referirse a las evaluaciones de impacto establece que “las operaciones de tratamiento a gran escala que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen probablemente un alto riesgo”. En todo caso, hay que interpretar estas consideraciones con cierta cautela. Se realizan en el marco de la evaluación de impacto y ser, en consecuencia, de aplicación preferentemente, a este contexto.
Ante la falta de concreción que viene presentando este concepto, varias autoridades de control han procedido a establecer criterios que pongan un poco de luz, sobre una situación de especial trascendencia. Algunas de ellas han optado, como la estonia, por criterios cuantitativos. Esta autoridad de control ha establecido distintos niveles numéricos en función del tipo de datos objeto de tratamiento. En el caso de categorías especiales de datos y relativo a infracciones y condenas penales considera que los tratamientos, de al menos, cinco mil personas tendrían esta condición. El límite mínimo se elevaría a diez mil personas para los tratamientos de carácter financiero y a cincuenta mil para el resto. Por otro lado, la República Checha ha optado por criterios más objetivos. Los tratamientos de datos de más diez mil personas tienen la condición de tratamientos a gran escala. Sin embargo, presentan la misma condición, si se lleva a cabo por veinte filiales o más de veinte empleados. Si se siguiese esta postura, en el caso de GLOVO, sin ningún género de dudas estaríamos ante un tratamiento de datos a gran escala.
Por otro lado, otras autoridades de control, siguiendo la estela de Comité Europeo de Protección de Datos han optado por apoyarse en criterios interpretativos para su determinación. El propio Comité reconoce la dificultad de dar cifras exactas ya sea en relación con la cantidad de datos procesados o al número de personas afectada. Por ello, propone una serie de factores para su determinación.
En primer lugar, hay que analizar el número de interesados afectados, dos millones de usuarios en España aproximadamente. Dicha cifra constituye por sí misma un tratamiento a gran escala si nos atuviésemos a los criterios cuantitativos tomados como referencia por otras autoridades de control de la UE. Los sobrepasan ampliamente.
Sin embargo, es preciso tener en cuenta otros factores, como el volumen de datos y, entendemos también la finalidad a la que se dirigen. No tiene las mismas implicaciones una base de datos de clientes de un comercio en el que sólo se registran los cobros y los pagos que el una de similares dimensiones de uno online que parametriza todos los movimientos de sus clientes. Evidentemente, el riesgo y el impacto que tiene para los derechos y libertades de los afectados es mucho mayor en el segundo de los casos. Si analizamos su política de privacidad, el volumen de datos parece, a priori, considerable. No se limitan a la propia gestión del pedido. Toda interacción del usuario con la plataforma es analizada por parte de GLOVO para poder mejorar el servicio, mejorar y personalizar la experiencia, para lo que se utilizan, además de los proporcionados directamente por éste, los derivados de su historial de navegación, los obtenidos a través de las cookies instaladas en sus equipos o la geolocalización, previo consentimiento del usuario. Este elevado volumen de datos, junto a las finalidades previstas se incardinarían, a su vez, dentro de los otros requisitos como es la observación habitual y sistemática que la resolución no aborda.
Así mismo, se tienen en cuenta otros factores como el alcance geográfico. El hecho que se lleven a cabo tratamientos en siete países y más de ciento cuarenta ciudades es otro factor más que contribuye, en nuestra opinión, la realización de tratamientos a gran escala.
En todo caso, estamos ante un concepto que exige concreción. El tiempo y la práctica contribuirán decisivamente a su delimitación.
ALDC ABOGADOS © 2024 Todos los derechos reservados