L'AEPD ha imposat una multa de 200.000 € per l'ús obligatori de telèfons mòbils personals al lloc de treball

Informes13 de maig del 2026
L'AEPD ha multat una empresa per obligar els empleats a instal·lar aplicacions als seus telèfons mòbils personals, vulnerant així els principis de minimització de dades, base jurídica i informació a l'empleat.

1. Els fets: ús obligatori de telèfons mòbils personals i supervisió excessiva

La sentència, dictada en el cas EXP2024114111, es deriva d'una denúncia presentada per un dels conductors d'Ares Capital (d'ara endavant, l'«entitat» o la «companyia»), que va informar que l'empresa li exigia utilitzar el seu telèfon mòbil personal per a la feina i descarregar quatre aplicacions necessàries per a la prestació del servei.


El treballador va al·legar que aquestes aplicacions monitoritzaven contínuament la seva activitat i que no s'havia informat prou clarament sobre la naturalesa, l'abast i el funcionament del tractament de dades, una situació que afectava tota la plantilla.


Durant la investigació, l'AEPD va constatar que algunes de les aplicacions requerides incloïen permisos especialment intrusius, que permetien l'accés a, entre altres coses:

  • Geolocalització contínua o precisa.
  • Fotografies i vídeos.
  • Enregistraments d'àudio.
  • Informació personalment identificable.
  • Dades de salut o de forma física.

L'AEPD subratlla que el que importa no és si l'empresa fa ús realment de totes aquestes dades, sinó que els permisos tècnics de les aplicacions ho permetin i no puguin ser modificats per l'empleat.


L'empresa va argumentar que l'ús de telèfons mòbils personals era voluntari, ja que els empleats tenien l'opció de sol·licitar un dispositiu proporcionat per l'empresa o d'utilitzar el seu propi a canvi d'una compensació econòmica. No obstant això, la mateixa empresa va reconèixer que els empleats no podien modificar la configuració ni els permisos de les aplicacions i que el subministrament i la distribució dels telèfons corporatius depenien de la disponibilitat de recursos i pressupost, i es va comprometre a proporcionar-los gradualment.


2. Les sancions imposades per l'AEPD

Com a resultat d'aquests fets, l'AEPD ha imposat tres sancions que posen de manifest els principals riscos que sorgeixen de l'ús de telèfons mòbils personals a la feina i la seva regulació —o manca d'aquesta— a través de polítiques BYOD:

  • Incompliment del principi de minimització de dades (100.000 €): L'Agència considera que les aplicacions requerides recollien més dades de les necessàries perquè els conductors duguessin a terme la seva feina. Concretament, podien accedir a informació com el seguiment de la ubicació contínua, imatges, gravacions d'àudio, contactes o fins i tot dades de salut, la qual cosa és excessiva, sobretot perquè es tracta de dispositius personals. L'AEPD assenyala que, sempre que sigui possible, s'haurien d'utilitzar alternatives menys intrusius, com ara la geolocalització del vehicle, i també té en compte el gran nombre de treballadors afectats (més de 5.700) a l'hora de qualificar la infracció com a molt greu.
  • Manca d'una base jurídica vàlida (80.000 €): Tot i que l'empresa es basava en el consentiment dels treballadors, l'AEPD considera que aquest era insuficient, ja que en la pràctica no hi havia cap alternativa real des del principi (el lliurament de telèfons mòbils de l'empresa depenia de la disponibilitat). En l'àmbit laboral, el consentiment només és vàlid si el treballador pot negar-lo sense conseqüències, cosa que no era el cas. A més, l'Agència assenyala que tampoc no es poden utilitzar altres bases legals si les dades recollides van més enllà del necessari.
  • Incompliment del deure d'informar (80.000 €): L'AEPD assenyala que els empleats no van rebre informació clara i completa sobre les dades que es recollien ni sobre com deixar de ser supervisats al final de la jornada laboral. En aquest sentit, proporcionar la informació adequada implica explicar, per exemple, si n'hi ha prou amb tancar la sessió, si les aplicacions continuen funcionant en segon pla o si cal apagar el dispositiu, en lloc d'incloure simplement clàusules generals al contracte.

A més de la sanció, l'AEPD ha donat a l'empresa dos mesos per rectificar la situació, i li exigeix que limiti la recollida de dades al que sigui estrictament necessari, que estableixi una base jurídica adequada per a l'ús de telèfons mòbils personals i que garanteixi que els empleats estiguin degudament informats, incloent-hi la desconnexió fora de l'horari laboral.


3. Conclusió

Aquesta resolució estableix un punt de referència clar per a les empreses, deixant palès que l'ús d'eines tecnològiques no pot traspassar els riscos de compliment normatiu als empleats. En particular, l'ús de telèfons mòbils personals a la feina requereix més precaució: el consentiment de l'empleat no és suficient, i és essencial supervisar els permisos de les aplicacions per evitar un processament excessiu de dades.


Per a les empreses que operen sota models BYOD2, aquesta sentència significa que han de revisar les seves pràctiques, analitzar detalladament les eines utilitzades i garantir que el tractament de dades es limiti estrictament al necessari, proporcionant informació clara i completa als empleats. En aquest escenari, és essencial buscar assessorament especialitzat per identificar riscos, adaptar les polítiques internes i garantir que l'ús de la tecnologia s'alinea amb el RGPD i les directrius de l'AEPD, minimitzant així els riscos potencials.


Nota informativa del Departament de Protecció de Dades d'ECIJA Madrid.

Una composición arquitectónica abstracta en blanco y negro que muestra formas geométricas superpuestas.

Sòcies/socis relacionats

ACTUALITAT #ECIJA