Multa de 200.000 € imposada per l'AEPD per l'ús d'aplicacions corporatives en els telèfons mòbils personals dels empleats
L'AEPD (cas EXP202411411) ha multat una empresa amb 200.000 €.-€ per obligar els seus empleats a instal·lar aplicacions mòbils en els dispositius que utilitzen per a la feina, inclosos els de propietat personal, i per tractar dades personals més enllà del necessari (principi de minimització de dades), sense una base jurídica vàlida i amb informació insuficient (en endavant, la "Decisió").
La Decisió és especialment rellevant en els àmbits de l'ocupació i el compliment normatiu, ja que aborda els límits de les polítiques BYOD, els criteris per al consentiment vàlid en les relacions laborals i la necessitat d'alternatives proporcionades quan un empresari pretén utilitzar aplicacions que accedeixen a dades dels dispositius personals dels empleats.
I. Fets i àmbit de la decisió
L'AEPD va constatar que l'empresa exigia la instal·lació obligatòria de diverses aplicacions operatives (comunicació interna, bloqueig/desbloqueig del vehicle, plataforma de serveis i geolocalització), tant en els telèfons mòbils de l'empresa com en els telèfons mòbils personals quan els primers no estaven disponibles, amb permisos que permetien l'accés a la geolocalització contínua, a les fotos i vídeos, als contactes, a l'àudio i a les dades d'estat físic.
La Resolució classifica la conducta com una infracció dels articles 5.1.c (minimització), 6.1 (licitud) i 13 (deure d'informar) del RGPD i ordena, a més d'una sanció de 200.000 €, l'adopció en un termini de dos mesos de mesures correctores per demostrar la minimització, una base legítima vàlida i el compliment del deure d'informar.
II. Base jurídica i doctrina aplicable (consentiment en l'àmbit laboral, proporcionalitat i BYOD)
En entorns jerarquics, el consentiment, tal com assenyala l'AEPD, rarament és «lliure», i per tant no pot servir de base per accedir a les dades des del dispositiu personal d'un empleat o per activar permisos d'aplicacions intrusius.
Pel que fa al concepte de consentiment, l'AEPD assenyala que la licitud del tractament requereix que el responsable del tractament informi el titular de les dades (en aquest cas, l'empleat) de les finalitats per a les quals es destinen les dades, mitjançant el que s'anomena «consentiment informat», que ha de ser lliurement atorgat. En aquest sentit, s'entén que «el consentiment no es considera lliure quan el interessat no té una elecció genuïna o lliure o no pot negar-lo o retirar-lo sense patir cap perjudici; o quan no se'ls permet autoritzar per separat les diferents operacions de tractament de dades personals, encara que això seria adequat en el cas concret, o quan l'execució d'un contracte o la prestació d'un servei es condicionen al consentiment, encara que aquest no sigui necessari per a aquesta execució". Aquestes situacions es donen, per exemple, quan el consentiment s'inclou com una part no negociable dels termes i condicions generals, o quan s'imposa l'obligació d'acceptar l'ús de dades personals més enllà del que és estrictament necessari.
En particular, en l'àmbit laboral, aquest requisit adquireix una importància especial a causa de les diferents posicions que ocupen l'ocupador i l'ocupat; cal demostrar que la manca de consentiment de l'ocupat no comportarà cap conseqüència negativa per a ell, per tal de garantir que el consentiment es dóna lliurement. Tal com ha assenyalat l'AEPD en diverses resolucions, «sense aquestes condicions, la prestació del consentiment no oferiria al titular de les dades un control real sobre les seves dades personals i l'ús que se'n fa, i això tornaria il·lícita l'activitat de tractament».
En la decisió impugnada, l'AEPD argumenta que l'absència inicial d'un interès empresarial legítim i la naturalesa obligatòria de les aplicacions invaliden el consentiment i traslladen la càrrega de la prova a altres bases legals en virtut de l'article 6.1 del RGPD, les quals, en aquest cas, tampoc no legitimen la recollida massiva de dades.
A més, hi troba una infracció del principi de minimització de dades (article 5.1.c) del RGPD) a causa de la configuració de permisos que superen el que és estrictament necessari per prestar el servei (p. ex., l'accés a fotos/vídeos o a mètriques de salut) i un incompliment del deure d'informar (article 13 del RGPD).
Aquest enfocament és coherent amb la doctrina judicial dels tribunals laborals, que rebutja la validesa de les clàusules «voluntàries» de proporcionar dades o els propis recursos (Sentència del Tribunal Suprem de 21 de setembre de 2015) i amb la jurisprudència que considera injustificada la imposició d'aplicacions en telèfons mòbils personals quan existeixen alternatives organitzatives (Sentència del Tribunal Superior de Galícia de 31 de gener de 2022) i amb resolucions recents sobre la desconnexió digital i els límits del teletreball (Sentència del Tribunal Suprem de 2 d'abril de 2025). En particular, la sentència del Tribunal Suprem de 8 de febrer de 2021 va confirmar la invalidesa del sistema que obligava els repartidors a proporcionar el seu propi telèfon intel·ligent i a instal·lar una aplicació de geolocalització per al seguiment en temps real de les comandes, així com les clàusules contractuals associades (incloses les disposicions disciplinàries i de rescissió per no proporcionar o «reparar» el dispositiu). El Tribunal va considerar que les dades de localització constitueixen dades personals i que la mesura, tot i que persegueix finalitats legítimes, no supera el test de proporcionalitat perquè hi ha alternatives menys intrusius que no requereixen l'ús d'un telèfon mòbil personal ni la transferència de les dades associades (per exemple, dispositius als vehicles o solucions equivalents).
III. Impacte i riscos clau de compliment laboral
Des d'una perspectiva laboral, exigir la instal·lació d'aplicacions en dispositius personals pot constituir:
- una intrusió il·lícita en l'esfera privada si els permisos de les aplicacions permeten accedir a informació innecessària o no relacionada amb la feina;
- una vulneració del dret a la desconnexió digital si les aplicacions romanen actives fora de l'horari laboral; i
- tractament sense una base jurídica vàlida quan es basa en un consentiment no lliure.
Tot això exposa l'empresa a sancions, no només en relació amb la protecció de dades, sinó també per part de la Inspecció de Treball, així com a contingències legals derivades de possibles impugnacions o conflictes individuals o col·lectius amb els representants legals dels treballadors, a causa de les deficiències en el model de compliment (absència o insuficiència de l'avaluació d'impacte en la protecció de dades, manca de polítiques BYOD, registres de tractament incomplets i acords de tractament de dades deficients amb els proveïdors d'aplicacions).
IV. Recomanacions pràctiques
Adoptant un enfocament preventiu per al compliment normatiu en l'àmbit laboral, les empreses, a la llum d'aquesta última resolució sancionadora de l'AEPD, haurien de tenir en compte, entre d'altres, les recomanacions següents:
(1) prioritzar sempre els dispositius corporatius amb gestió MDM i contenidors separats per sobre dels dispositius personals;
(2) si es permet el BYOD, fer-ho com una «opció genuïna i reversible», amb una política específica que reguli aquest ús, incloent-hi un registre del consentiment informat i sense accedir a les dades personals de l'esfera privada;
(3) dur a terme una Avaluació d'Impacte prèvia per descartar permisos no essencials i telemetria (p. ex., accés a fotos/vídeos, contactes o dades de salut, geolocalització constant, etc.), justificant la proporcionalitat de la mesura;
(4) definir una base jurídica diferent del consentiment per al tractament necessari i, quan sigui inevitable sol·licitar el consentiment, garantir que sigui lliure, específic, informat i inequívoc, amb alternatives organitzatives que no perjudiquin el treballador;
(5) complir l'obligació reforçada i transparent de proporcionar informació (canals interns, avisos de tractament per aplicació i controls per garantir la desconnexió efectiva fora de l'horari laboral); i
(6) iniciatives de formació per a directius i personal sobre l'ús responsable dels dispositius, la privacitat i la desconnexió digital, establint un canal intern per a consultes i possibles queixes.
Nota informativa del Departament Laboral de l'ECIJA Madrid.
