Un usuario de Glovo recibió una desagradable sorpresa cuando, después de unos meses desde que la empresa de reparto española confirmase la cancelación de su cuenta, entrase un correo electrónico a su cuenta con la confirmación de un pedido. Pedido, que al haber roto su relación con la aplicación, nunca había realizado.
Pese a que Glovo clasificó la cuenta como fraudulenta y procedió a la devolución del dinero, el usuario, convencido de haber cancelado sus datos en los archivos de la mercantil, presentó una reclamación ante la Agencia Española de Protección de Datos (AEPD). El reclamante basó su reclamación en el tratamiento ilícito de sus datos personales tras haberse dado de baja del servicio.
Durante el procedimiento sancionador, la AEPD llevó a cabo dos inspecciones en la sede de Glovo con el objetivo de obtener más información que la aportada por el reclamante.
Con la información obtenida, Glovo mantuvo que el ciberataque fue realizado desde un país de Europa del Este, Ucrania, en el que los hackers aprovecharon el uso reiterado de la misma clave de seguridad por parte del usuario en distintos servicios.
Para reforzar su tesis, Glovo hizo uso de la web www.haveibeenpwned.com. Esta web comprueba si una cuenta de correo o número de teléfono se encontraba registrada en cualquier página que haya sufrido un ciberataque en el que su base de datos haya quedado expuesta.
La cuenta y la contraseña del usuario reclamante había quedado expuesta hasta en cinco ocasiones y en todas ellas había utilizado las mismas credenciales. Además, quedó acreditado que el ciberdelincuente obtuvo los datos de la tarjeta asociada al correo electrónico del mercado negro, no a través de la base de datos de Glovo.
En este sentido, la AEPD concluye que «no existe ninguna constatación de que la supresión de su cuenta, solicitada por el reclamante, no hubiera sido atendida correctamente y se hubiesen continuado tratando los datos personales del reclamante». En su resolución, la AEPD valora la prueba aportada por ambas partes y pone de relieve la importancia de la diligencia mínima que han de atender los usuarios.