La AEPD sanciona con 200.000 euros el uso obligatorio del móvil personal en el entorno laboral

Informes13 de mayo de 2026
La AEPD sanciona a una entidad por obligar a instalar apps en móviles personales, vulnerando minimización, base legal e información al trabajador.

1. Los hechos: uso obligatorio del móvil personal y monitorización excesiva

La resolución, dictada en el expediente EXP2024114111, trae causa de la reclamación presentada por uno de los conductores de Ares Capital (en adelante, la “entidad” o la “empresa”) quien denunció que la empresa le exigía utilizar su teléfono móvil personal para trabajar y descargar cuatro aplicaciones necesarias para la prestación del servicio.

 

El trabajador alegó que dichas aplicaciones monitorizaban su actividad de forma continua y que no había sido informado con suficiente claridad sobre el tipo, alcance y funcionamiento del tratamiento de datos, una situación que afectaba al conjunto de la plantilla. 


Durante la investigación, la AEPD comprobó que algunas de las aplicaciones exigidas incluían permisos especialmente invasivos, permitiendo el acceso, entre otros, a:  

  • Geolocalización continua o precisa. 
  • Fotografías y vídeos. 
  • Grabaciones de audio. 
  • Información personal identificativa.
  • Datos de salud o estado físico.

La AEPD subraya que lo relevante no es si la empresa hace uso efectivo de todos esos datos, sino que los permisos técnicos de las aplicaciones lo permiten y no pueden ser modulados por el trabajador. 


La empresa alegó que el uso del móvil personal era voluntario, al existir la posibilidad de solicitar un terminal corporativo, o bien utilizar el propio dispositivo a cambio de una compensación económica. No obstante, la propia entidad reconoció que los empleados no podían modificar la configuración ni los permisos de las aplicaciones y que la entrega y distribución de teléfonos corporativos dependía de la disponibilidad de recursos y presupuesto, comprometiéndose a facilitarlos de forma progesiva. 


2. Las sanciones impuestas por la AEPD

Como resultado de estos hechos, la AEPD impone tres sanciones que reflejan de forma muy clara dónde están los principales riesgos derivados del uso de moviles personales en el ámbito laboral y su regulación, o falta de regulación, a través de políticas de BYOD:   

  • Vulneración del principio de minimización (100.000 euros): La Agencia considera que las aplicaciones exigidas recopilaban más datos de los necesarios para que los conductores pudieran realizar su trabajo. En concreto, podían acceder a información como la ubicación continua, imágenes, grabaciones de audio, contactos o incluso datos de salud, lo que resulta excesivo, especialmente al tratarse de dispositivos personales. La AEPD recuerda que, siempre que sea posible, deben emplearse alternativas menos intrusivas, como la geolocalización del vehículo, y tiene en cuenta además el elevado número de trabajadores afectados (más de 5.700) para calificar la infracción como muy grave.  
  • Falta de base de legitimación válida (80.000 euros): Aunque la empresa se apoyaba en el consentimiento de los trabajadores, la AEPD entiende que no era suficiente, ya que en la práctica no existía una alternativa real desde el inicio (el reparto de móviles corporativos dependía de la disponibilidad). En el ámbito laboral, el consentimiento solo es válido si el trabajador puede negarse sin consecuencias, algo que no ocurría en este caso. Además, la Agencia apunta que tampoco pueden utilizarse otras bases legales si los datos recogidos van más allá de lo necesario.  
  • Incumplimiento del deber de información (20.000 euros): La AEPD señala que los trabajadores no recibían información clara y completa sobre los datos que se recogían ni sobre cómo dejar de ser monitorizados al finalizar la jornada. En este sentido, informar correctamente implica explicar, por ejemplo, si basta con cerrar sesión, si las aplicaciones siguen funcionando en segundo plano o si es necesario apagar el dispositivo, y no limitarse a incluir cláusulas generales en el contrato.

Además de la sanción, la AEPD ha dado a la empresa dos meses para regularizar su situación, exigiéndole que limite los datos a lo imprescindible, cuente con una base legal adecuada en el uso de móviles personales y garantice una correcta información a los trabajadores, incluida la desconexión fuera del horario laboral.   


3. Conclusión

Esta resolución marca un claro punto de referencia para las empresas, al dejar patente que el uso de herramientas tecnológicas no puede trasladar los riesgos de cumplimiento a los trabajadores. En particular, el uso de móviles personales en el entorno laboral exige una mayor cautela: no basta con el consentimiento del empleado y resulta imprescindible controlar los permisos de las aplicaciones para evitar tratamientos excesivos. 


Para las empresas que operan bajo modelos BYOD2, este criterio supone la necesidad de revisar sus prácticas, analizar en detalle las herramientas utilizadas y garantizar que el tratamiento de datos se ajusta estrictamente a lo necesario, con una información clara y completa para los trabajadores. En este escenario, es clave contar con asesoramiento especializado para identificar riesgos, adaptar las políticas internas y asegurar un uso de la tecnología alineado con el RGPD y el criterio de la AEPD, minimizando posibles contingencias.  


Nota informativa del área de Protección de Datos de ECIJA Madrid. 

Una composición arquitectónica abstracta en blanco y negro que muestra formas geométricas superpuestas.

Socios relacionados

ACTUALIDAD #ECIJA