La AEPD multa el uso de apps laborales en teléfonos personales

La Agencia Española de Protección de Datos (AEPD), en la resolución del expediente EXP202411411, ha impuesto a una empresa, una multa total de 200.000 euros por vulnerar los artículos 5.1.c), 6.1 y 13 del RGPD en relación con el uso de aplicaciones instaladas en los teléfonos de sus conductores VTC.

La relevancia de la resolución radica en que la AEPD analiza los límites del tratamiento de datos cuando la empresa exige o permite que la prestación laboral se apoye en teléfonos móviles personales y en aplicaciones que acceden a un amplio volumen de información. La Agencia concluye que no basta con invocar la operativa del servicio o el contrato de trabajo si, en la práctica, se recaban más datos de los necesarios, no existe una base jurídica válida para tratar los datos del terminal personal y no se informa adecuadamente a los empleados.

Qué originó la reclamación

El trabajador denunció que la empresa le obligaba a usar su teléfono móvil personal en el ámbito laboral y a descargar varias aplicaciones que, según exponía, monitorizaban su ubicación y otros parámetros de actividad de forma continua. También afirmaba que no había recibido información suficiente sobre el alcance de los datos personales recopilados.

En su respuesta a la AEPD, la empresa sostuvo que los trabajadores podían optar entre solicitar un móvil corporativo o utilizar el suyo propio, con una compensación mensual por ese uso. Sin embargo, la propia resolución destaca que la disponibilidad de terminales corporativos quedaba supeditada a los recursos y al presupuesto de la compañía, de modo que, en la práctica, el uso del móvil personal podía venir impuesto cuando no hubiera dispositivo de empresa disponible.

Los motivos de la sanción

1. Vulneración del principio de minimización de datos. La AEPD aprecia infracción del artículo 5.1.c) del RGPD porque algunas de las aplicaciones obligatorias incorporaban permisos para acceder a datos que excedían de lo estrictamente necesario para la prestación del servicio. La resolución menciona, entre otros, datos de ubicación, fotos y vídeos, contactos, grabaciones de voz o sonido e incluso información sobre estado físico. Para la Agencia, esta recogida resulta desproporcionada en relación con la finalidad laboral alegada.

Por esta infracción, la AEPD fija una sanción de 100.000 euros.

2. Falta de base de licitud válida. La Agencia considera vulnerado el artículo 6.1 del RGPD porque el tratamiento de datos derivados del uso del teléfono personal de los trabajadores no se apoyaba en una base legitimadora válida. La resolución subraya que en el ámbito laboral existe un claro desequilibrio entre empresa y trabajador, por lo que el consentimiento no puede considerarse libre si el empleado no dispone realmente de una alternativa efectiva. Según la AEPD, si el móvil corporativo no está disponible desde el primer momento, el uso del terminal personal no responde a una elección plenamente libre.

Además, la Agencia entiende que la empresa permitía la recopilación de datos del terminal personal por aplicaciones de instalación obligatoria sin acreditar una base jurídica suficiente para ello.

Por esta infracción, la multa asciende a 80.000 euros.

3. Incumplimiento del deber de información. La AEPD también aprecia infracción del artículo 13 del RGPD porque la empresa no informó suficientemente a los trabajadores sobre qué datos se recogían, con qué alcance y cómo debía producirse la desconexión de las aplicaciones al finalizar la jornada. La resolución insiste en que el deber de información exige una explicación clara, comprensible y completa sobre el tratamiento derivado del uso de estas herramientas digitales.

Por este motivo, la Agencia impone una sanción adicional de 20.000 euros.

Qué datos y prácticas cuestiona la AEPD

Entre los elementos que la resolución considera especialmente problemáticos figura la instalación obligatoria de varias aplicaciones en los terminales usados por los conductores, fueran personales o corporativos. La AEPD resalta que algunas de esas apps podían acceder a una pluralidad de datos personales que iba más allá de la simple localización necesaria para la prestación del servicio.

También valora que la empresa indicara que las aplicaciones y la configuración del terminal no podían modificarse sin autorización expresa y por escrito, lo que reforzaba el control empresarial sobre el dispositivo. Junto a ello, la Agencia considera insuficiente que la compañía defendiera que el trabajador podía desconectarse fuera de jornada si no explicaba de forma bastante cómo debía hacerse esa desconexión ni qué tratamiento seguían realizando las aplicaciones.

Medidas correctivas impuestas

Además de la multa, la AEPD ordena a la empresa que, en el plazo máximo de dos meses desde la ejecutividad de la resolución, acredite:

— El cumplimiento del principio de minimización, garantizando que no se recaban más datos personales de los estrictamente necesarios para el desempeño del servicio.

— La existencia de una base de licitud válida para el tratamiento que afecte a los teléfonos personales de los trabajadores o, en su defecto, el cese de ese tratamiento.

— El cumplimiento del deber de información del artículo 13 del RGPD respecto del uso de aplicaciones móviles en los terminales empleados para trabajar y sobre su desconexión al finalizar la jornada.

Impacto práctico de la resolución

La decisión de la AEPD refuerza la idea de que la organización del trabajo mediante aplicaciones móviles no permite un acceso indiscriminado a los datos del dispositivo personal del empleado. Si la empresa articula su operativa sobre móviles particulares, debe justificar con precisión qué datos necesita, por qué los necesita y sobre qué base jurídica los trata.

En términos prácticos, la resolución advierte a las empresas de que el uso de herramientas digitales en el ámbito laboral exige extremar las garantías de proporcionalidad, transparencia y licitud, especialmente cuando están en juego terminales personales y tratamientos de geolocalización o de acceso a otras categorías de datos del trabajador.