La AEPD sanciona con 200.00 euros el uso obligatorio del móvil personal en el entorno laboral

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Ares Capital, S.A. con una multa total de 200.00 euros por exigir a sus trabajadores la instalación de aplicaciones corporativas en sus móviles, incluidos los de titularidad personal, y por tratar datos personales que resultaban excesivos, sin una base legal válida y con deficiencias en la información facilitada. 

1. Los hechos: uso obligatorio del móvil personal y monitorización excesiva

La resolución, dictada en el expediente EXP202411411[1], trae causa de la reclamación presentada por uno de los conductores de Ares Capital (en adelante, la “entidad” o la “empresa”) quien denunció que la empresa le exigía utilizar su teléfono móvil personal para trabajar y descargar cuatro aplicaciones necesarias para la prestación del servicio.

El trabajador alegó que dichas aplicaciones monitorizaban su actividad de forma continua y que no había sido informado con suficiente claridad sobre el tipo, alcance y funcionamiento del tratamiento de datos, una situación que afectaba al conjunto de la plantilla.

Durante la investigación, la AEPD comprobó que algunas de las aplicaciones exigidas incluían permisos especialmente invasivos, permitiendo el acceso, entre otros, a:

• Geolocalización continua o precisa.
• Fotografías y vídeos.
• Grabaciones de audio.
• Información personal identificativa.
• Datos de salud o estado físico.

La AEPD subraya que lo relevante no es si la empresa hace uso efectivo de todos esos datos, sino que los permisos técnicos de las aplicaciones lo permiten y no pueden ser modulados por el trabajador.

Aunque la empresa alegó que el uso del móvil personal era voluntario, la AEPD constató que la alternativa de móvil corporativo no estaba garantizada desde el inicio, al depender de disponibilidad y presupuesto, lo que en la práctica obligaba a utilizar dispositivos propios. Además, las aplicaciones podían mantenerse activas más allá de la jornada, lo que plantea riesgos directos en relación con el derecho a la desconexión digital y la separación entre esfera laboral y personal.

2. Las sanciones impuestas por la AEPD

Como resultado de estos hechos, la AEPD impone tres sanciones que reflejan de forma muy clara dónde están los principales riesgos derivados del uso de moviles personales en el ámbito laboral y su regulación, o falta de regulación, a través de políticas de BYOD: 

• Vulneración del principio de minimización (100.000 euros): La Agencia considera que las aplicaciones exigidas recopilaban más datos de los necesarios para que los conductores pudieran realizar su trabajo.

En concreto, podían acceder a información como la ubicación continua, imágenes, grabaciones de audio, contactos o incluso datos de salud, lo que resulta excesivo, especialmente al tratarse de dispositivos personales.

La AEPD recuerda que, siempre que sea posible, deben emplearse alternativas menos intrusivas, como la geolocalización del vehículo, y tiene en cuenta además el elevado número de trabajadores afectados (más de 5.700) para calificar la infracción como muy grave.

• Falta de base de legitimación válida (80.000 euros): Aunque la empresa se apoyaba en el consentimiento de los trabajadores, la AEPD entiende que no era suficiente, ya que en la práctica no existía una alternativa real desde el inicio (el reparto de móviles corporativos dependía de la disponibilidad).

En el ámbito laboral, el consentimiento solo es válido si el trabajador puede negarse sin consecuencias, algo que no ocurría en este caso. Además, la Agencia apunta que tampoco pueden utilizarse otras bases legales si los datos recogidos van más allá de lo necesario.

• Incumplimiento del deber de información (20.000 euros): La AEPD señala que los trabajadores no recibían información clara y completa sobre los datos que se recogían ni sobre cómo dejar de ser monitorizados al finalizar la jornada.

En este sentido, informar correctamente implica explicar, por ejemplo, si basta con cerrar sesión, si las aplicaciones siguen funcionando en segundo plano o si es necesario apagar el dispositivo, y no limitarse a incluir cláusulas generales en el contrato.

Además de la sanción, la AEPD ha dado a la empresa dos meses para regularizar su situación, exigiéndole que limite los datos a lo imprescindible, cuente con una base legal adecuada en el uso de móviles personales y garantice una correcta información a los trabajadores, incluida la desconexión fuera del horario laboral. 

3. Impacto laboral y riesgo de compliance

Más allá de la sanción en protección de datos, la resolución tiene un impacto directo en el ámbito laboral, ya que pone de manifiesto que este tipo de prácticas pueden implicar:

• Una injerencia ilegítima en la esfera privada del trabajador, cuando se accede a datos no vinculados a la actividad laboral.
• Un incumplimiento del derecho a la desconexión digital, si las aplicaciones permanecen activas fuera de la jornada.
• Problemas en la validez del consentimiento, propios de la relación laboral y su desequilibrio estructural.
• Riesgos adicionales de inspección laboral, conflictos colectivos o impugnaciones individuales. 

En este sentido, la resolución conecta con la doctrina laboral que cuestiona la imposición de medios propios del trabajador cuando existen alternativas menos intrusivas.

4. Claves prácticas para empresas

Con enfoque preventivo desde ambas áreas, las empresas, a la luz del criterio de la AEPD, deberán tener en cuenta, entre otras, las siguientes recomendaciones:

1. Priorizar el uso de dispositivos corporativos, gestionados mediante soluciones MDM y con entornos separados, evitando trasladar al trabajador la obligación de utilizar su móvil personal.
2. Si se opta por modelos BYOD, configurarlos como una opción real y voluntaria, bien regulada mediante una política interna específica, con registro del consentimiento y sin acceso a la información personal del dispositivo.
3. Realizar una Evaluación de Impacto previa, que permita identificar y eliminar accesos innecesarios a datos (como fotos, contactos, salud o geolocalización continua), asegurando que la medida es proporcional.
4. Definir correctamente la base legal del tratamiento, evitando depender del consentimiento y, cuando sea necesario solicitarlo, garantizando que sea realmente libre, informado y sin consecuencias para el trabajador.
5. Reforzar el deber de información, explicando de forma clara qué datos se tratan, cómo funcionan las aplicaciones y cómo se garantiza la desconexión fuera del horario laboral.
6. Impulsar medidas de formación y concienciación, tanto para managers como para la plantilla, sobre el uso responsable de dispositivos y la protección de datos, acompañadas de canales internos para resolver dudas o gestionar incidencias.

5. Conclusión

Esta resolución marca un claro punto de referencia para las empresas, al dejar patente que el uso de herramientas tecnológicas no puede trasladar los riesgos de cumplimiento a los trabajadores. En particular, el uso de móviles personales en el entorno laboral exige una mayor cautela: no basta con el consentimiento del empleado y resulta imprescindible controlar los permisos de las aplicaciones para evitar tratamientos excesivos.

Para las empresas que operan bajo modelos BYOD[2], este criterio supone la necesidad de revisar sus prácticas, analizar en detalle las herramientas utilizadas y garantizar que el tratamiento de datos se ajusta estrictamente a lo necesario, con una información clara y completa para los trabajadores.

En este escenario, es clave contar con asesoramiento especializado para identificar riesgos, adaptar las políticas internas y anticiparse mediante un enfoque conjunto de protección de datos y compliance laboral.