La Agencia Estatal de Protección de Datos (AEPD) ha impuesto a Glovo una multa de 550.000 euros por el tratamiento que la empresa de reparto a domicilio hizo hasta mayo de 2020 de los datos de sus repartidores. En concreto, culpa a la empresa de permitir a algunos usuarios de su plataforma acceder a datos de los riders que no eran necesarios para su trabajo. La compañía ya ha recurrido la multa ante la Audiencia Nacional.

En un extenso expediente publicado esta semana, la AEPD considera que Glovo incumplió varios artículos del Reglamento General de Protección de Datos (RGPD) por la forma en la que su plataforma tecnológica, de diseño propio, gestionaba los datos obtenidos del trabajo de los riders y los permisos de acceso a los mismos.

La investigación de la AEPD surge a partir de otra llevada a cabo por la autoridad de protección de datos de Italia a Foodinho, una empresa del grupo Glovo. En ella, la agencia constata la alta cantidad de datos personales de los repartidores que recopilaba la plataforma y a los que era posible acceder desde otros países.

[Yolanda Díaz anuncia una nueva investigación a Glovo por presunta vulneración de la intimidad de la plantilla]

En concreto, apunta que, entre los datos recopilados por Foodinho con la ayuda de una plataforma técnica específica propiedad de la española GLOVOAPP23, se encontraban la ubicación geográfica (en tiempo real), el tiempo de entrega (tanto estimado como real), las rutas seguidas, el cumplimiento de las órdenes, las valoraciones de los repartidores por los clientes o vendedores o las puntuaciones de reputación.

Tras la inspección realizada en España, la AEPD constata que hasta mayo de 2020  Glovo no tenía establecido en sus sistemas un mecanismo que limitará el acceso de los usuarios de su plataforma tecnológica a los datos que no resultaban necesarios para el desempeño de su trabajo. 

Logo de Glovo. Manuel Fernández Omicrono

Así, detalla que ha quedado comprobado que todos los usuarios de la plataforma tecnológica que tenían activado el permiso 'EU User Access' podían acceder a los datos de todos los repartidores de países de la Unión Europea. Un sistema que quedó sin efecto en mayo de 2020 y fue sustituido por otro más estricto.

"El sistema utilizado por GLOVOAPP para la gestión de permisos de acceso a los datos de los repartidores permitía el acceso a datos no necesarios para el trabajo de los usuarios, pues permitía el acceso a datos de repartidores que no se encontraban en el país del usuario que realizaba el acceso", resume.

Fallos de diseño

En este sentido, la agencia remarca que desde el diseño del tratamiento de los datos de los repartidores, Glovo no adoptó las medidas pertinentes para cumplir con el principio de minimización de datos (que indica que sólo deben usarse aquellos que sean precisos para cada tratamiento) ni se realizó adecuado análisis de riesgos.

Además, agrega que tampoco estableció un modelo de gestión de permisos de acceso de manera que, por defecto, quedaran aquellos limitados al ámbito geográfico adecuado, garantizando que los trabajadores solo tratarían los datos de los repartidores que fueran necesarios.

[Delivery Hero, matriz de Glovo, provisionará 45 millones por posibles multas a sus 'riders' en España]

"GLOVOAPP, teniendo en cuenta los riesgos que entrañaba su plataforma para los derechos y libertades de los repartidores, debió adoptar las medidas técnicas y organizativas pertinentes en su plataforma para aplicar de forma efectiva los principios de protección de datos", concluye.

Un portavoz de Glovo ha señalado a EL ESPAÑOL-Invertia que la resolución de la AEPD "no es definitiva" y se refiere a un proceso iniciado por la agencia en 2021. De hecho, ha confirmado que ya han recurrido la sanción ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

"Glovo recurrió ante la Audiencia Nacional la citada resolución, aportando los argumentos legales y evidencias necesarias para solicitar la nulidad de la misma, y ahora está a la espera de la decisión del órgano judicial", explica.

Asimismo, el portavoz subraya que la empresa está "muy comprometida, de forma activa y responsable, con el cumplimiento de la normativa en materia de protección de datos, siendo una prioridad en su día a día".