Los hechos se remontan a finales de 2019 cuando dos particulares reclamaron ante la Agencia Española de Protección de Datos denunciando que la mercantil GLOVO (“GLOVOAPP23, S.L.”) no tenía nombrado Delegado de Protección de Datos (en adelante, DPD) al que remitir las reclamaciones.
La empresa contestó afirmando que no tenían obligación de designar DPD al no encontrarse entre los supuestos del art. 37 RGPD ni del 34 LOPDGDD, si bien, meses después, tras el acuerdo de inicio del procedimiento en febrero de 2020, y la posterior propuesta de resolución de sanción por infracción del art. 37 RGPD, tipificado en el art. 83.4 RGPD, Glovo alegó, en el mes de marzo del mismo año, que había designado Delegado de Protección de Datos el 23 de mayo de 2019, añadiendo que no lo habían hecho oficial frente a terceros con su debida inscripción en el Registro de DPD de la AEPD hasta febrero de 2020.
En primer lugar, la Agencia aclaró que Glovo sí estaba obligada a designar Delegado de Protección de Datos:
En este sentido, la falta de designación de DPD vulnera el artículo 37.1b) del RGPD en relación con el artículo 34 de la LOPDGDD, dado que Glovo realiza un tratamiento de datos personales a gran escala.
Dicho incumplimiento se considera una infracción grave y prescribirá a los dos años, consecuentemente, la Directora de la AEPD consideró adecuado sancionar a Glovo con una multa por importe de 25.000 euros.
Tras ello, Glovo recurrió en reposición ante la AEPD que desestimó el recurso y le advertía que debía hacer efectiva la resolución en plazo, de lo contrario se iniciaría su recaudación en período ejecutivo.
Posteriormente, la mercantil recurrió la ante la jurisdicción contencioso-administrativa la desestimación del recurso de reposición que confirmaba, por ende, la anterior resolución de la Agencia Española de Protección de Datos de 1 de abril de 2020, lo que ha llevado a la Audiencia Nacional a pronunciarse, en su Sentencia de 18 de noviembre de 2022 , desestimando nuevamente el recurso interpuesto por Glovo, confirmando que la figura de DPD es obligatoria y es la “encargada de informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, debe velar por el cumplimiento normativo, y cooperar con la autoridad de control”, si bien, Glovo sostenía en que su “Comité de protección de datos que era un órgano suficiente para velar por el cumplimiento de la protección de datos y que se encontraba auxiliado por un subcomité”, y prosigue afirmando que “es más que evidente que ese comité y subcomité con el que contaba Glovo era insuficiente para llevar a cabo las actuaciones exigidas al DPD puesto que nada más conocer de la reclamación procedió a su designación en forma comunicándolo a la Agencia Española de Protección de Datos”.
Es precisamente la ausencia de Delegado de Protección de Datos lo que se considera infracción grave, y lo que ha provocado que la Agencia multe a Glovo por importe de 25.000 euros, contemplando, además, dos agravantes:
Por todo ello, la Audiencia Nacional ha desestimado el recurso interpuesto por Glovo, confirmando así la resolución de la AEPD que le multaba por importe de 25.000 euros, a los que habrá que añadir 1500 euros en concepto de costas judiciales.