L'AEPD ha imposat una multa de 200 € per l'ús obligatori de telèfons mòbils personals al lloc de treball

L'Agència Espanyola de Protecció de Dades (AEPD) ha multat Ares Capital, S.A. amb un total de 200.000 € per exigir als seus empleats que instal·lessin aplicacions corporatives als seus telèfons mòbils, inclosos els de propietat privada, i per tractar dades personals de manera excessiva, sense una base jurídica vàlida i amb deficiències en la informació proporcionada.

1. Els fets: ús obligatori de telèfons mòbils personals i vigilància excessiva

La decisió, dictada en el cas EXP202411411[1], es deriva d'una reclamació presentada per un dels conductors d'Ares Capital (d'ara endavant, l'«entitat» o la «companyia»), que va informar que l'empresa li exigia utilitzar el seu telèfon mòbil personal per a la feina i descarregar quatre aplicacions necessàries per a la prestació del servei.

El treballador va afirmar que aquestes aplicacions monitoritzaven contínuament la seva activitat i que no s'havia informat amb prou claredat sobre la naturalesa, l'abast i el funcionament del tractament de dades, una situació que afectava tota la plantilla.

Durant la investigació, l'AEPD va constatar que algunes de les aplicacions requerides incloïen permisos especialment intrusius, que permetien l'accés a, entre altres coses:

• Geolocalització contínua o precisa.
• Fotografies i vídeos.
• Enregistraments d'àudio.
• Informació personalment identificable.
• Dades de salut o de forma física.

L'AEPD subratlla que el que importa no és si l'empresa fa ús realment de totes aquestes dades, sinó que els permisos tècnics de les aplicacions ho permetin i que no puguin ser ajustats per l'empleat.

Tot i que l'empresa afirmava que l'ús de telèfons mòbils personals era voluntari, l'AEPD va constatar que l'opció d'un telèfon mòbil proporcionat per l'empresa no estava garantida des del principi, ja que depenia de la disponibilitat i del pressupost, la qual cosa a la pràctica obligava els empleats a utilitzar els seus propis dispositius. A més, les aplicacions podien romandre actives fora de l'horari laboral, la qual cosa suposa riscos directes pel que fa al dret a la desconnexió digital i a la separació entre les esferes professional i personal.

2. Les sancions imposades per l'AEPD

Com a resultat d'aquestes conclusions, l'AEPD ha imposat tres sancions que posen de manifest els principals riscos que sorgeixen de l'ús de telèfons mòbils personals a la feina i la seva regulació —o la seva manca— a través de polítiques BYOD:

• Incompliment del principi de minimització de dades (100.000 €): L'Agència considera que les aplicacions requerides van recollir més dades de les que eren necessàries perquè els conductors duguessin a terme la seva feina.

Concretament, podien accedir a informació com ara dades de localització contínua, imatges, enregistraments d'àudio, contactes o fins i tot dades de salut, la qual cosa és excessiva, sobretot perquè es tracta de dispositius personals.

L'AEPD assenyala que, sempre que sigui possible, s'haurien d'utilitzar alternatives menys intrusius, com ara la geolocalització del vehicle, i també té en compte el gran nombre de treballadors afectats (més de 5.700) a l'hora de qualificar la infracció com a molt greu.

• Manca d'una base jurídica vàlida (80.000 €): Tot i que l'empresa es basava en el consentiment dels treballadors, l'AEPD considera que aquest era insuficient, ja que en la pràctica no hi havia cap alternativa real des del principi (el lliurament de telèfons mòbils de l'empresa depenia de la disponibilitat).

En l'àmbit laboral, el consentiment només és vàlid si el treballador pot negar-lo sense conseqüències, cosa que no era el cas. A més, l'Agència assenyala que tampoc no es poden utilitzar altres bases legals si les dades recollides van més enllà del necessari.

• Incompliment del deure d'informar (80.000 €): L'AEPD assenyala que els empleats no van rebre informació clara i completa sobre les dades que es recollien ni sobre com deixar de ser supervisats al final de la jornada laboral.

En aquest sentit, proporcionar la informació adequada implica explicar, per exemple, si és suficient simplement tancar la sessió, si les aplicacions continuen funcionant en segon pla o si cal apagar el dispositiu, en lloc d'incloure simplement clàusules generals al contracte.

A més de la sanció, l'AEPD ha donat a l'empresa dos mesos per rectificar la situació, i li exigeix que limiti la recollida de dades al que sigui estrictament necessari, que estableixi una base jurídica adequada per a l'ús de telèfons mòbils personals i que garanteixi que els empleats estiguin degudament informats, incloent-hi la desconnexió fora de l'horari laboral.

3. Implicacions laborals i risc de no compliment

Més enllà de la sanció per protecció de dades, la sentència té un impacte directe en el lloc de treball, ja que destaca que aquestes pràctiques poden implicar:

• Una intrusió il·lícita en la vida privada del treballador, quan s'accedeix a dades no relacionades amb la feina.
• Una vulneració del dret a la desconnexió digital, si les aplicacions romanen actives fora de l'horari laboral.
• Qüestions relatives a la validesa del consentiment, específiques de la relació laboral i el seu desequilibri estructural.
• Riscos addicionals d'inspeccions laborals, conflictes col·lectius o impugnacions individuals.

En aquest sentit, la sentència s'alinea amb la doctrina del dret laboral que qüestiona la imposició dels propis dispositius del treballador quan existeixen alternatives menys intrusius.

4. Línies directrius pràctiques per a les empreses

Adoptant un enfocament preventiu en ambdós àmbits, les empreses, a la llum dels criteris de l'AEPD, haurien de tenir en compte, entre d'altres, les recomanacions següents:

1. Prioritzar l'ús de dispositius corporatius, gestionats mitjançant solucions MDM i amb entorns separats, evitant l'obligació que el treballador utilitzi el seu telèfon mòbil personal.
2. Si s'opta per models BYOD, configurar-los com una opció genuïna i voluntària, regulats adequadament per una política interna específica, amb un registre del consentiment i sense accés a la informació personal del dispositiu.
3. Fer una avaluació d'impacte en la protecció de dades prèvia per identificar i eliminar l'accés innecessari a les dades (com ara fotos, contactes, dades de salut o geolocalització contínua), garantint que la mesura sigui proporcional.
4. Definir correctament la base jurídica del tractament, evitant basar-se en el consentiment i, quan calgui sol·licitar-lo, assegurant que sigui genuïnament lliure, informat i sense conseqüències per a l'empleat.
5. Reforçar el deure d'informar, explicant clarament quines dades es tracten, com funcionen les aplicacions i com es garanteix la desconnexió fora de l'horari laboral.
6. Promoure mesures de formació i conscienciació, tant per a la direcció com per al personal, sobre l'ús responsable dels dispositius i la protecció de dades, acompanyades de canals interns per resoldre consultes o gestionar incidències.

5. Conclusió

Aquesta sentència estableix un punt de referència clar per a les empreses, deixant palès que l'ús d'eines tecnològiques no pot traspassar els riscos de compliment a les persones treballadores. En particular, l'ús de telèfons mòbils personals a la feina requereix més precaució: el consentiment de la persona treballadora no és suficient, i és essencial supervisar els permisos de les aplicacions per evitar un tractament excessiu.

Per a les empreses que operen amb models BYOD[2], aquesta sentència significa que han de revisar les seves pràctiques, analitzar detalladament les eines utilitzades i garantir que el tractament de dades es limiti estrictament al necessari, proporcionant informació clara i completa als empleats.

En aquest escenari, és essencial buscar assessorament especialitzat per identificar riscos, adaptar les polítiques internes i prendre mesures proactives mitjançant un enfocament combinat de protecció de dades i compliment normatiu laboral.