El pasado 10 de junio de 2021 la Agencia de Protección de Datos Italiana (el “Garante per la protezione dei dati personali” o el “Garante”) impuso a la empresa Foodinho s.r.l (“Foodinho”) una multa de 2,6 millones de euros por numerosas infracciones del RGPD (la “Sanción”).

Foodinho es propiedad de la empresa española Glovoapp23, S.L. (“Glovo”) desde 2016, y ofrece servicios de compra, recogida y entrega de comidas de restaurantes a través de sus repartidores.

La Sanción empezó a gestarse el 21 de noviembre de 2019 cuando la Agencia Española de Protección de Datos (“AEPD”) acordó la competencia del Garante para resolver las infracciones relacionadas con los tratamientos de datos realizados por Foodinho que afectaban a los repartidores que operaban únicamente en Italia (18,684 repartidores en el momento de la inspección).

De forma separada, la AEPD como autoridad principal, se encuentra actualmente inmersa en la instrucción de un procedimiento sancionador distinto (PS/00020/2021), en relación con una posible infracción del RGPD cometida por Glovo.

La AEPD y el Garante llevan intercambiando información relativa a las inspecciones realizadas en sus respectivas áreas de competencia desde el 2 de diciembre de 2019.

Las infracciones cometidas por Foodinho según el Garante, son las siguientes:

1. Infracción del artículo 5.1.a) del RGPD sobre el principio de transparencia y el artículo 13 del RGPD sobre la información que deberá facilitarse cuando los datos personales se obtengan del interesado.

El Garante interpretó que la información ofrecida por Foodinho a sus repartidores (la “Información”) infringía el artículo 5.1.a) del RPGD al incluir información demasiado genérica sobre algunos procesamientos de datos, en particular sobre el tratamiento de datos relativo a la posición geográfica del repartidor.

La Información también omitía ciertas categorías de datos recabados por Foodinho, en particular las comunicaciones realizadas con el repartidor a través del chat, correo electrónico y teléfono, y valoraciones expresadas sobre el repartidor por los clientes.

La Información tampoco proporcionaba los tiempos precisos de conservación de ciertas categorías de datos personales de los repartidores, infringiendo el artículo 13.2.a) del RGPD. En particular, el Garante consideró la información ofrecida por Foodinho demasiado genérica: “Los datos se procesan solo durante el tiempo estrictamente necesario para lograr los fines para los que han sido recogidos y, en todo caso, a más tardar la finalización de la relación laboral más 4 años a partir de esa fecha”.

La Información tampoco hacía referencia al procesamiento automatizado realizado por Foodinho, incluida la elaboración de perfiles, con el fin de penalizar a los repartidores que no cumplían los objetivos fijados por Foodinho, restringiendo como resultado su capacidad de recibir pedidos en ciertas franjas horarias. Por esta razón, el Garante concluyó que Foodinho infringió el artículo 13.2.f) del RGPD.

Por último, la Información no indicaba los datos de contacto del delegado de protección de datos de la empresa, lo que dio lugar a la infracción del artículo 13.1.b) del RGPD.

2. Infracción del artículo 5.1.e) del RGPD sobre el principio de limitación del plazo de conservación.

Durante la investigación, Foodinho alegó que el periodo de conservación de los datos personales de los repartidores consistía en el periodo de duración de la relación laboral más 4 años tras la finalización de dicha relación laboral.

Dicho periodo de conservación se aplicaba indistintamente a diversas categorías de datos personales, sin perjuicio de la finalidad del tratamiento para la cual los datos fueron recabados.

El Garante explicó que, ante la necesidad de identificar tiempos de conservación adecuados en relación con cada una de las finalidades concretas perseguidas con el tratamiento de diferentes tipos de datos personales, el responsable del tratamiento no debe limitarse a fijar “bloques” homogéneos de tiempos de conservación.

Además, el plazo fijado por Foodinho para la supresión de los datos personales de los repartidores (duración de la relación laboral más 4 años) era impreciso, puesto que no se definía el concepto de “relación laboral”, pudiendo los repartidores seguir manteniendo una relación laboral con Foodinho pese a significativos períodos de inactividad.

Por último, durante la investigación, el Garante encontró documentos elaborados por Foodinho que indicaban periodos de conservación de datos distintos a los indicados por Foodinho en sus alegaciones al Garante. A modo de ejemplo, en un link de la página web de la empresa, de “Información sobre el tratamiento de datos personales de los repartidores de Foodinho” se indicaba que el plazo de conservación de los datos personales era “de un máximo de 10 años para cumplir con distintas obligaciones legales”.

3. Infracción del artículo 5.1.c) del RGPD sobre el principio de minimización de datos y el artículo 25 del RGPD sobre el principio de privacidad por diseño y por defecto.

Durante la investigación, el Garante observó que los sistemas de Foodinho, diseñados para la finalidad de gestionar el servicio de entrega de alimentos, estaban configurados para recabar y almacenar un elevado número de datos personales relacionados con la gestión de pedidos.

Entre estos datos personales se encontraba la detección de la posición geográfica de los repartidores cada 15 segundos a través del GPS, los tiempos de entrega estimados y los tiempos realmente necesarios para realizar la entrega, datos relacionados con las puntuaciones individuales asignadas al repartidor diariamente y comunicaciones dirigidas al repartidor por correo electrónico, chat y llamadas telefónicas.

Foodinho contaba con 600 operadores que podían acceder a todos los datos antes mencionados de cualquier repartidor y en cualquier momento con la finalidad de asegurar la eficiencia de los servicios de entrega. Dichos operadores tenían acceso no solo a los datos relacionados con el repartidor encargado de entregar un pedido concreto, sino además a la información de cualquier otro repartidor aunque este último no se encontrara realizando actividad alguna. Es decir, los sistemas de Foodinho no contaban con restricciones que limitaran este acceso innecesario de los operadores a los datos personales de los repartidores.

Por último, el Garante consideró “significativo” el número de operadores con acceso a estos datos personales, dado que si bien el número total de repartidores en el momento de la inspección era de 18.684, tras reducir los repartidores inactivos (aquellos que llevaban x tiempo sin hacer entregas), el número de repartidores en activo estaba por debajo de los 5,000 repartidores por mes.

4. Infracción del artículo 32 del RGPD sobre la seguridad del tratamiento.

El Garante concluyó que, debido al elevado número de operadores de Foodinho con acceso a los datos personales de todos los repartidores, así como la cantidad, variedad y naturaleza de los datos procesados, el riesgo de pérdida, modificación, divulgación o acceso no autorizado de los datos personales era elevado y Foodinho no estaba en posición de poder asegurar “de forma permanente la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas”.

5. Infracción del artículo 35 del RGPD sobre evaluación de impacto relativa a la protección de datos.

El Garante también concluyó que Foodinho no realizó una evaluación de impacto relativa a la protección de datos.

Según el Garante, dada la multiplicidad de datos personales relacionados con la gestión de pedidos, así como la elaboración de perfiles y el procesamiento automatizado de los datos pertenecientes a un alto número de interesados, la actividad de tratamiento de datos llevada a cabo por Foodinho presenta un alto riesgo para los derechos y libertades de las personas, lo que resulta en la necesidad de realizar, antes del inicio del tratamiento, una evaluación de impacto de conformidad con el artículo 35 del RGPD.

Foodinho argumentó que la obligación de realizar la evaluación de impacto correspondía a su empresa matriz, Glovo. Sin embargo, el Garante desestimó este argumento al identificar a Foodinho como responsable del tratamiento de datos en relación con las actividades de tratamiento realizadas en Italia.

6. Infracción del artículo 22.3 del RGPD sobre decisiones individuales automatizadas, incluida la elaboración de perfiles.

La plataforma empleada por Foodinho para la gestión de pedidos contaba con un “sistema de excelencia” que, siguiendo una serie de criterios predeterminados, penalizaba a aquellos repartidores que no cumplían los objetivos fijados por Foodinho. La penalización tenía como resultado limitar el acceso de los repartidores a poder elegir las franjas horarias en las que realizar su trabajo.

Los repartidores podían incumplir los objetivos si por ejemplo no aceptaban o rechazaban un pedido rápidamente, o si realizaban un número de entregas por debajo del mínimo exigible por Foodinho.

Asimismo, la plataforma de Foodinho solo tenía en cuenta los criterios penalizadores. Es decir, una vez un repartidor era penalizado, la puntuación de este no podía mejorar si empezaba a cumplir objetivos.

En resumen: la plataforma de Foodinho realizaba una actividad de elaboración de perfiles que afectaba significativamente a los repartidores al determinar si estos podían o no recibir pedidos a través de la plataforma, impactando por tanto en su trabajo e ingresos.

Con todo esto presente, el Garante concluyó que Foodinho infringió el artículo 22.3 del RGPD al no implementar medidas adecuadas para «salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión».

Según el Garante, no consta que Foodinho adoptara medidas para permitir a los repartidores ejercer sus derechos, como por ejemplo a través de la activación de canales dedicados. Tampoco parece que los interesados tuvieran conocimiento en modo alguno de la posibilidad de ejercitar estos derechos en relación con las decisiones tomadas a través del uso de la plataforma.

7. Infracción del artículo 37.7 del RGPD sobre la designación del delegado de protección de datos.

Glovo, en calidad de empresa matriz, comunicó el nombramiento del DPD del grupo al Garante el 8 de diciembre de 2019. Sin embargo, el Garante interpretó que la obligación establecida por el artículo 37.7 del RGPD obligaba también a Foodinho, como responsable del tratamiento de datos en Italia a realizar la comunicación del nombramiento del DPD al Garante.

Según el Garante: “La obligación de las entidades individuales del grupo sigue siendo válida como responsables o encargados de datos, de publicar los datos de contacto del DPD y de comunicarlos a la autoridad supervisora competente”.

Pese a que Foodinho realizó la comunicación del nombramiento del DPD al Garante el 1 de julio de 2020, el Garante concluyó que el tratamiento de datos realizado por Foodinho antes de esa fecha incumplió el artículo 37.7 del RGPD.

8. Infracción del artículo 30.1.a), b), c), f) y g) del RGPD sobre el Registro de Actividades de Procesamiento (“RAT”).

Tras su investigación, el Garante concluyó que el RAT de Foodinho estaba incompleto en varios puntos. En primer lugar y en relación con el artículo 30.1.a), el RAT no indicaba los datos de contacto del delegado de protección de datos.

En segundo lugar y en relación con el artículo 30.1.b), el RAT describía de forma genérica las finalidades de los tratamientos referidas a los repartidores. Por ejemplo: la finalidad del tratamiento de datos personales de los repartidores es: “satisfacer los servicios ofrecidos por los repartidores a través de la plataforma tecnológica».

En tercer lugar y en relación con el artículo 30.1.c), el RAT no permitía distinguir claramente las categorías de interesados de las categorías de datos procesados. Asimismo, el RAT no mencionaba ciertas categorías de datos personales cuyo tratamiento el Garante pudo comprobar durante la inspección. A modo de ejemplo, el RAT no enumeraba los datos relacionados con las comunicaciones entre los repartidores y el servicio de atención al cliente.

En cuarto lugar y en relación con el artículo 30.1.f), el plazo previsto por Foodinho para la supresión de los datos personales de los repartidores (duración de la relación laboral más 4 años) era impreciso, como ya hemos mencionado antes.

En último lugar y en relación con el artículo 30.1.g), el RAT no contenía una descripción general de las medidas técnicas y organizativas de seguridad apropiadas implementadas por Foodinho para garantizar un nivel de seguridad adecuado al riesgo.

Conclusión:

El post resulta interesante por ilustrar el alcance de la cooperación entre agencias de protección de datos de distintos países miembros para investigar a un grupo empresarial. Como indicábamos al principio, la AEPD y el Garante llevan intercambiando información relativa a las inspecciones realizadas en sus respectivas áreas de competencia desde el 2 de diciembre de 2019.

Recordemos también que la Sanción que hemos examinado en este post es solo en relación con los datos tratados en Italia. La AEPD se encuentra actualmente instruyendo su propio procedimiento sancionador, como autoridad principal, por una posible infracción del RGPD por parte de Glovo.

Algunos de los puntos más interesantes a tener en cuenta de la Sanción:

• Las empresas deben evitar fijar un mismo tiempo de conservación de datos para todas las categorías de datos personales, sin tener en cuenta la finalidad del tratamiento de cada categoría.
• En un grupo empresarial, la comunicación del DPD por parte de la matriz a la autoridad competente del país donde se encuentra su filial, en principio no exime a la filial de realizar la misma comunicación.
• En un grupo empresarial, el hecho de que la empresa matriz realice una evaluación de impacto relativa a la protección de datos, en principio no exime a la filial de la obligación de realizar su propia evaluación de impacto, si la filial es considerada la responsable de datos de su región.
• Si el responsable de datos realiza decisiones individuales automatizadas, incluida la elaboración de perfiles, el responsable debe ofrecer a los interesados como mínimo el derecho a obtener intervención humana para permitirles expresar su punto de vista, e impugnar la decisión automatizada si fuera necesario.
• La infracción del principio de minimización de datos y del principio de privacidad por diseño y por defecto puede dar lugar a la infracción del artículo 32 del RGPD sobre la seguridad del tratamiento.

Desde el RGPD Blog seguiremos atentos a la evolución del procedimiento sancionador de la AEPD contra Glovo.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.