L’Autorità spagnola per la protezione dei dati personali (di seguito, l’”Autorità”) ha comminato una sanzione pari a 25 mila Euro nei confronti della società spagnola Glovoapp23 SL (la “Società”) famosa per aver sviluppato l’app di consegne a domicilio Glovo (l”’App”) ormai largamente diffusa e utilizzata in tutto il mondo. La sanzione, comminata a seguito di un’attività istruttoria condotta dall’Autorità, sollecitata a sua volta da numerosi reclami inviati all’Autorità da parte degli utenti dell’App, è stata irrogata per violazione dell’articolo 37 del Regolamento UE 679/2016 (il “GDPR”). La Società, infatti, nonostante la diffusione dell’App nonché le tipologie di dati personali trattati – dai dati di geolocalizzazione degli utenti a quelli delle abitudini alimentari e di consumo – non aveva provveduto a nominare un Data Protection Officer (“DPO”). Dall’informativa sul trattamento die dati personali pubblicata sul sito web della Società e disponibile sull’App, infatti, non vi era indicazione dei dati di contatto del DPO dal momento che lo stesso risultava non nominato. Come emerso durante la fase di indagine, accertata la mancata nomina del DPO, la Società rispondeva alla richiesta di chiarimenti dell’Autorità sostenendo che la mancanza del DPO fosse giustificata dal fatto che le attività di trattamento poste in essere dalla Società non rientrassero nelle ipotesi di designazione obbligatoria prevista dal GDPR. Sul punto si ricorda che l’obbligatorietà della designazione di un DPO da parte del Titolare o del Responsabile è prevista, ai sensi dell’articolo 37 del GDPR, nei casi in cui l’organizzazione sia: (a) una pubblica amministrazione, con esclusione delle autorità giudiziarie; (b) un ente che, come attività principale, effettui trattamenti che comportano il monitoraggio regolare e sistematico degli interessati su larga scala; (c) un ente che, come attività principale e, su larga scala, tratti dati di categoria particolare ovvero di natura giudiziaria ai sensi dell’articolo 10 del GDPR. In aggiunta, la Società precisava che l’informativa sul trattamento die dati personali forniva indicazione agli interessati sia in merito alle modalità di esercizio dei loro diritti sia in merito alle modalità di presentazione di eventuali richieste alla Società, precisando che il riscontro a tali richieste sarebbe stato fornito da alcuni soggetti incaricati all'interno dell'azienda. Nonostante quanto indicato, alla luce del procedimento avviato dall’Autorità, la Società aveva successivamente proceduto a nominare un DPO e a darne comunicazione all’Autorità. La nomina – tardiva – del DPO non ha tuttavia evitato l’erogazione della sanzione da parte dell’Autorità, la quale ha ritenuto che il trattamento di dati personali posto in essere dalla Società fosse riconducibile al concetto di “monitoraggio regolare e sistematico degli interessati su larga scala” e pertanto rientrante tra le ipotesi di obbligatorietà della nomina previste dall’articolo 37, comma 1, lett b) del GDPR. Come indicato dal Considerando 91 del GDPR – sebbene posto sistematicamente nella parte dedicata alla valutazione d’impatto sulla protezione dei dati –, e richiamato altresì dalle Linee guida sui responsabili della protezione dei dati pubblicate dal Gruppo di Lavoro Articolo 29 (WP29) nel dicembre 2016, e aggiornate nell’aprile del 2017 (“Linee Guida DPO”), il concetto di “larga scala” fa riferimento a quei trattamenti che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. Al fine di meglio comprendere il concetto indicato e individuare le ipotesi concrete in cui si è presenza di trattamenti effettuati su larga scala che impongono la nomina di un DPO, le Linee Guida DPO raccomandano di prestare attenzione a quattro fattori, fornendo altresì una serie di esempi pratici: Nel caso di specie, riconosciuta la portata geografica dell’attività di trattamento (il servizio risulta infatti diffuso in più di 200 città nel mondo) e il numero di interessati che utilizzano l’App, è risultato altresì rilevante considerare che il servizio si basa su tecnologie avanzate che consentono una profilazione degli utenti, comportando altresì il trattamento di svariate tipologie di dati personali, quali dati di geolocalizzazione, dati inerenti le abitudini alimentari e di consumo nonché dati di categoria particolare (come ad esempio le allergie e le intolleranze alimentari degli utenti). Ne deriva che la nomina del DPO, alla luce dell’attività della Società, risultava una misura obbligatoria ai sensi del GDPR. In ogni caso, ferme restando le ipotesi di obbligatorietà, la nomina del DPO rappresenta un elemento fondante ai fini del rispetto del principio di accountability sancito dal GDPR, raccomandabile anche alla luce delle indicazioni fornite dalleLinee Guida DPO. In conclusione, l’Autorità ha riscontrato una violazione dell’articolo 37 del GDPR e ha comminato la sanzione ai sensi dell’articolo 83, comma 4 del GDPR. Il quantum della sanzione, ovvero 25 mila Euro, è stato calcolato tenendo in considerazione soprattutto il numero elevato di interessati e le categorie di dati personali trattati. La sanzione, seppur non elevata – si ricorda infatti che ai sensi del richiamato articolo 83, comma 4del GDPR le sanzioni, per violazioni come quella verificatasi nel caso concreto, possono arrivare fino a 10 milioni di Euro o fino al 2% del fatturato annuo globale – risulta comunque in linea con un’attività ispettiva condotta da alcune Autorità europee per la protezione dei dati personali nei confronti delle app di delivery. Anche in Italia, l’Autorità Garante per protezione dei dati personali, lo scorso anno, aveva infatti aperto un’istruttoria sui trattamenti di dati personali da queste effettuati e aveva incluso le app di home delivery nel piano ispettivo per il primo semestre del 2020 (si rinvia per un approfondimento sul tema al seguente link qui).
