La autoridad de protección de datos de Italia (Garante per la Protezione dei Dati Personali) realizó una investigación a la empresa Foodinho SRL, en la que se descubrió que las actividades involucradas en la entrega de comida u otros ítems por los repartidores implicaba el tratamiento de datos personales a través de una plataforma técnica específica: GLOVOAPP 23, propiedad de la compañía con sede en España GLOVOAPP23, S.A. Por tanto, la autoridad italiana transmitió una notificación a la Agencia Española de Protección de Datos (AEPD) con el fin de realizar una investigación respecto a los tratamientos de datos de los repartidores realizado por la compañía española GLOVOAPP23, S.A. y sus filiales.
En su investigación la AEPD revisó la descripción y funcionamiento del sistema de asignación de pedidos y valoraciones a los repartidores. Los repartidores con mayor puntuación tenían la posibilidad de seleccionar la franja horaria en la que querían trabajar antes que los que tuviesen menor puntuación. Además, esto tenía efectos jurídicos en los repartidores ya que permitía seleccionar franjas de trabajo que objetivamente eran más productivas.
GLOVOAPP defendía que esto fue aceptado por todos los repartidores y que las decisiones eran fruto de un procedimiento de asignación automatizado, pero no una decisión individual automatizada de acuerdo con lo dispuesto en el art 22 del RGPD. Por ende, no debía informar de ello a los repartidores.
La AEPD no tiene en cuenta este argumento y considera que GLOVOAPP estaba tomando decisiones automatizadas de las referidas en el artículo 22 del RGPD, ya que no existía intervención humana en la distribución y únicamente existía dicha intervención por exigencias del repartidor en caso de algún error o incumplimiento. Por lo tanto, debería haberse informado a los repartidores de este tratamiento y no hacerlo supone una del artículo 13 del RGPD.
Finalmente, la AEPD resuelve con un apercibimiento por la infracción al deber de información del art. 13 del RGPD. Sin embargo, impone una multa de 550.000€ por la infracción de los artículos 25 y 32 del RGPD, ya que concluye que la plataforma tecnológica de GLOVOAPP es un desarrollo propio, por lo que es GLOVOAPP23, S.A. quien toma todas las decisiones al respecto, entre ellas, la configuración del sistema de perfiles que permite el acceso a los datos de los usuarios de la plataforma. Por tanto, debió tener cuenta los riesgos que entrañaba su plataforma para los derechos y libertadas de los repartidores y debió adoptar las medidas técnicas y organizativas pertinentes en su plataforma para aplicar de forma efectiva los principios de protección de datos, que no se tuvieron en cuenta, entre otros, la minimización de datos y la confidencialidad de los datos.