Sanción de 200.000€ de la AEPD por el uso de apps corporativas en móviles personales de los empleados
La AEPD (Expediente EXP202411411) ha sancionado a una empresa con una multa de 200.000.-€ por obligar a sus personas trabajadoras a instalar aplicaciones móviles en los terminales que usan para trabajar, incluidos los de titularidad personal, y por tratar datos personales más allá de lo necesario (principio de minimización de datos), sin base legitimadora válida y con insuficiencia informativa (en lo sucesivo la “Resolución”).
La Resolución es especialmente relevante en el ámbito laboral y de compliance, porque incide en los límites de las políticas BYOD, los criterios de validez del consentimiento en relaciones de subordinación laboral y la necesidad de alternativas proporcionales cuando el empleador pretende utilizar Apps que acceden a datos del dispositivo personal de las personas trabajadoras.
I. Hechos y alcance de la resolución
La AEPD constata que la empresa requería la instalación obligatoria de varias Apps operativas (comunicación interna, apertura/cierre de vehículo, plataforma del servicio y geolocalización), tanto en móviles corporativos como en móviles personales cuando aquellos no estaban disponibles, con permisos que habilitaban el acceso a geolocalización continua, fotos y vídeos, contactos, audio y datos de estado físico.
La Resolución califica la conducta como infracción de los arts. 5.1.c) (minimización), 6.1 (licitud) y 13 (deber de información) RGPD y ordena, además de la multa de 200.000 €, la adopción en dos meses de medidas correctoras para acreditar minimización, base legítima válida y cumplimiento del deber de información.
II. Base jurídica y doctrina aplicable (consentimiento en el empleo, proporcionalidad y BYOD)
En entornos de subordinación, el consentimiento, como señala la AEPD, raramente es «libre», por lo que no puede servir de base para acceder a datos del dispositivo personal del trabajador ni para activar permisos intrusivos de Apps.
En relación con el concepto de consentimiento, la AEPD señala que, la licitud del tratamiento exige que el interesado (en este caso, el empleado) debe ser informado sobre los fines a que están destinados los datos, a través del denominado “consentimiento informado”, que debe prestarse libremente. En este sentido, se entiende que “el consentimiento no es libre cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno; o cuando no se le permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato o prestación de servicio sea dependiente del consentimiento, aun cuando éste no sea necesario para dicho cumplimiento”. Estas situaciones se producen, por ejemplo, cuando el consentimiento se incluye como una parte no negociable de las condiciones generales, o cuando se impone la obligación de estar de acuerdo con el uso de datos personales adicionales a los estrictamente necesarios.
Particularmente, en el ámbito laboral este requisito cobra especial relevancia por la diferente posición que ocupan el empleador y el empleado, siendo necesario que se acredite que la no prestación del consentimiento por el trabajador no implicará ninguna consecuencia negativa para el mismo, de tal forma que quede garantizada su libre prestación. Como viene señalado la AEPD en diversas resoluciones, “sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un verdadero control sobre sus datos personales y el destino de los mismos, y ello haría ilegal la actividad del tratamiento. estar de acuerdo con el uso de datos personales adicionales a los estrictamente necesarios”.
En la Resolución analizada, la AEPD razona que la ausencia inicial de móvil corporativo y la obligatoriedad de las Apps invalidan el consentimiento y desplazan la carga hacia otras bases del art. 6.1 RGPD, que, en este caso, tampoco legitiman la captación masiva de datos.
Además, aprecia vulneración del principio de minimización de datos (art. 5.1.c RGPD) al configurarse permisos que exceden lo estrictamente necesario para prestar el servicio (p. ej., acceso a fotos/vídeos o a métricas de salud) y déficit del deber de información (art. 13 RGPD).
Esta aproximación es coherente con la doctrina judicial del orden social que niega la validez de cláusulas «voluntarias» para aportar datos o medios propios (STS 21‑9‑2015) y con la jurisprudencia que considera injustificada la imposición de Apps en móviles personales cuando existen alternativas organizativas (STSJ Galicia, 31‑1‑2022) y con pronunciamientos recientes sobre desconexión digital y límites en el teletrabajo (STS, 2‑4‑2025). Particularmente, la STS de 8‑2‑2021, confirmó la nulidad del sistema que obligaba a repartidores a aportar su propio smartphone e instalar una App de geolocalización para el seguimiento en tiempo real de pedidos, así como de las cláusulas contractuales asociadas (incluidas previsiones disciplinarias y extintivas por no aportar o no “reparar” el terminal). El Tribunal sostuvo que los datos de localización son datos personales y que la medida, aunque persigue fines legítimos, no supera el juicio de proporcionalidad porque existen alternativas menos intrusivas que no exigen el uso del móvil personal ni la cesión de datos asociados (p. ej., dispositivos en vehículos o soluciones equivalentes).
III. Impacto y principales riesgos de compliance laboral
Desde una perspectiva laboral, imponer la instalación de Apps en dispositivos particulares puede constituir:
- una injerencia ilegítima en la esfera privada si los permisos de las Apps permiten acceder a información no necesaria o extralaboral;
- un incumplimiento del derecho a la desconexión digital si las Apps permanecen activas fuera de jornada; y
- un tratamiento sin base jurídica válida cuando se apoya en un consentimiento no libre.
Todo ello expone a la empresa, a sanciones, no solo en materia de protección de datos, sino también por parte de la Inspección de trabajo, así como contingencias legales derivadas de eventuales impugnaciones individuales o colectivas y conflictos con la representación legal de las personas trabajadoras, derivadas de fallos en el modelo de cumplimiento (EIPD ausente o insuficiente, falta de políticas BYOD, registros de tratamiento incompletos y contratos de encargo con proveedores de Apps deficientes).
IV. Recomendaciones prácticas
Con un enfoque preventivo de compliance laboral, las empresas, a la luz de esta última Resolución sancionadora de la AEPD, deberán tener en cuenta, entre otras, las siguientes recomendaciones:
(1) privilegiar siempre dispositivos corporativos con gestión MDM y contenedores separados, sobre dispositivos personales;
(2) si se permite BYOD, hacerlo como “opción real y reversible”, con una política específica que regule estos usos, con un registro de consentimiento informado y sin acceso a datos personales del área privada;
(3) realizar una previa Evaluación de Impacto que descarte permisos y telemetrías no imprescindibles (p. ej., acceso a fotos/vídeos, contactos o salud, geolocalización constante, etc.), justificando la proporcionalidad de la medida;
(4) definir una base de licitud distinta del consentimiento para tratamientos necesarios y, cuando sea inevitable solicitarlo, garantizar que sea libre, específico, informado e inequívoco, con alternativas organizativas sin perjuicio para la persona trabajadora;
(5) cumplir el deber de información reforzado y transparente (canales internos, fichas de tratamiento por App, y controles de desconexión efectiva fuera de jornada); y
(6) acciones de formación a managers y plantilla sobre usos responsables de dispositivos, privacidad y desconexión digital, habilitando un canal interno de consultas y posibles reclamaciones.
Nota informativa del área de Laboral de ECIJA Madrid.
