La protección de datos entra de lleno en el uso laboral del teléfono privado

La Agencia Española de Protección de Datos (AEPD) ha publicado en su página web una resolución especialmente relevante para muchas empresas que utilizan aplicaciones móviles como parte habitual de su organización interna. El expediente EXP202411411 analiza el caso de una compañía de VTC que obligaba a sus conductores a instalar diversas aplicaciones laborales en sus teléfonos personales cuando no disponían de terminal corporativo.

La cuestión no es menor porque la resolución aborda un problema que se ha extendido silenciosamente en numerosos sectores. Empresas que, por razones operativas o económicas, trasladan parte de su estructura tecnológica al dispositivo privado del trabajador. Y ahí empiezan a mezclarse dos mundos que jurídicamente no siempre encajan bien. El ámbito profesional y la esfera privada.

La AEPD deja bastante claro que no basta con alegar necesidades organizativas, geolocalización del servicio o mejora operativa. Cuando una empresa utiliza el móvil personal de sus empleados como herramienta de trabajo, entra automáticamente en juego una serie de límites relacionados con la privacidad, la proporcionalidad y la protección de datos personales.

El caso resulta especialmente relevante porque la Agencia no sanciona únicamente la existencia de geolocalización o de aplicaciones laborales, sino el exceso en el acceso a datos y la falta de una verdadera alternativa real para el trabajador.

• Atención. El uso del teléfono personal para trabajar puede generar importantes riesgos legales. La empresa no puede acceder indiscriminadamente a datos del dispositivo privado. La AEPD está incrementando el control sobre la digitalización laboral.

El consentimiento del trabajador no siempre es válido en el ámbito laboral

Uno de los aspectos más importantes de toda la resolución es el análisis que realiza la AEPD sobre el supuesto consentimiento de los trabajadores. La empresa defendía que los conductores podían elegir entre utilizar un móvil corporativo o su propio teléfono personal, recibiendo incluso una compensación económica mensual por ello. Sin embargo, la Agencia concluye que esa elección no era realmente libre porque la disponibilidad de terminales corporativos dependía del presupuesto y de los recursos existentes en cada momento.  Y precisamente ahí aparece uno de los grandes mensajes de esta resolución.

En materia de protección de datos laborales, el consentimiento del trabajador suele analizarse con enorme cautela debido al desequilibrio existente entre empresa y empleado. La AEPD recuerda expresamente que, si el trabajador no dispone desde el principio de una alternativa real y efectiva, el consentimiento pierde gran parte de su validez jurídica.

Dicho de una forma mucho más sencilla. Si para poder trabajar el empleado termina viéndose obligado a usar su móvil personal, difícilmente puede hablarse de una decisión completamente libre. Y eso afecta directamente a la legitimidad del tratamiento de datos realizado por la empresa.

• Atención. El consentimiento del trabajador no siempre legitima el tratamiento de datos. La falta de alternativa real puede invalidar la supuesta aceptación del empleado. Compensar económicamente el uso del móvil personal no elimina automáticamente el riesgo legal.

La AEPD cuestiona el acceso excesivo a datos personales

Otro de los elementos centrales de la resolución tiene que ver con el principio de minimización de datos recogido en el RGPD.

La Agencia detecta que algunas de las aplicaciones obligatorias instaladas en los dispositivos permitían acceder a información que excedía claramente de lo necesario para la prestación del servicio laboral. Entre los permisos analizados aparecían datos de ubicación, fotografías, vídeos, grabaciones de voz, contactos e incluso información relacionada con el estado físico del trabajador.

Y aquí conviene detenerse un momento porque la resolución lanza una advertencia bastante clara. El hecho de que una aplicación exista comercialmente o funcione técnicamente no significa automáticamente que pueda utilizarse libremente en el ámbito laboral.

La empresa debe justificar exactamente:

• Qué datos necesita.
• Para qué los necesita.
• Por qué son imprescindibles.
• Durante cuánto tiempo los utiliza.
• Qué límites existen sobre su tratamiento.

La AEPD entiende que buena parte de los permisos detectados resultaban desproporcionados respecto a la finalidad laboral alegada por la empresa. Y precisamente por eso impone una sanción específica por vulneración del principio de minimización de datos.

La desconexión digital ya no puede quedarse en una simple declaración interna

La resolución también pone el foco sobre una cuestión que muchas empresas siguen tratando de forma bastante superficial. La desconexión digital.

La compañía sancionada defendía que los trabajadores podían cerrar las aplicaciones fuera de su jornada laboral y que incluso se les había explicado cómo hacerlo. Sin embargo, la AEPD considera insuficiente esa información porque no quedaba claramente acreditado:

• Cómo debía producirse realmente la desconexión.
• Qué datos seguían tratándose mientras las apps permanecían instaladas.
• Qué controles continuaban activos.
• Cuándo cesaba realmente la geolocalización.

Esto es importante porque muchas organizaciones siguen pensando que basta con incorporar una cláusula genérica sobre desconexión digital en contratos o manuales internos. La Agencia deja entrever una idea bastante distinta. La desconexión debe ser real, comprensible y técnicamente efectiva.

Especialmente cuando las aplicaciones permanecen instaladas dentro de dispositivos privados que contienen buena parte de la vida personal del trabajador.

• Atención. La desconexión digital debe funcionar realmente y no solo existir sobre el papel. La empresa debe explicar claramente cuándo cesa la geolocalización o monitorización. Las apps instaladas en móviles privados exigen especial transparencia informativa.

Como afecta a las empresas esta resolución

Aunque el expediente se refiere a conductores de VTC, el impacto práctico de esta resolución es muchísimo más amplio. Actualmente, miles de empresas utilizan aplicaciones móviles para:

• Control horario.
• Comunicación interna.
• Gestión comercial.
• Reparto y logística.
• Geolocalización.
• Control de rutas.
• Fichajes.
• Acceso remoto.
• Gestión de incidencias.
• Organización de turnos.

Y en muchos casos esas herramientas terminan instalándose directamente en dispositivos privados de trabajadores porque resulta más barato, más rápido o más cómodo operativamente. El problema es que la AEPD empieza a marcar límites bastante claros a esta práctica. La resolución recuerda que la digitalización empresarial no permite acceder indiscriminadamente a datos del entorno privado del empleado ni trasladar al trabajador los riesgos derivados de la infraestructura tecnológica de la empresa.

Y eso obligará a muchas organizaciones a revisar con bastante detenimiento sus políticas BYOD (“Bring Your Own Device”), el uso de aplicaciones corporativas y los sistemas de geolocalización actualmente implantados.

Sanción

Aunque la sanción económica asciende a 200.000 euros, probablemente lo más importante de la resolución no sea únicamente el importe. La AEPD ordena además a la empresa adoptar medidas correctivas concretas en un plazo máximo de dos meses, entre ellas:

• Garantizar el principio de minimización de datos.
• Acreditar una base jurídica válida para el tratamiento en móviles personales.
• Cumplir adecuadamente el deber de información respecto al uso de las aplicaciones y su desconexión.

Es decir, la Agencia no se limita a sancionar económicamente, sino que obliga a revisar completamente el modelo de funcionamiento implantado.

Y esto refleja algo importante. La protección de datos ya no se está interpretando únicamente como una cuestión documental o contractual. Empieza a analizarse directamente desde la realidad operativa diaria de las empresas.

A tener en cuenta…

La resolución publicada por la AEPD probablemente marcará un punto de inflexión en la forma en que muchas empresas utilizan aplicaciones móviles dentro de su organización diaria. Durante años se ha normalizado que los trabajadores utilicen sus propios teléfonos para gestionar tareas laborales, instalar herramientas corporativas o permitir sistemas de geolocalización continua. En muchos casos, incluso con absoluta naturalidad.

Sin embargo, la Agencia recuerda ahora algo que muchas organizaciones habían terminado olvidando. El teléfono personal sigue siendo, ante todo, un espacio privado.

Y precisamente por eso las empresas deben actuar con muchísima cautela cuando su operativa tecnológica empieza a penetrar dentro de ese ámbito personal.

Porque la eficiencia organizativa, el ahorro de costes o la comodidad operativa no eliminan las obligaciones derivadas del RGPD ni permiten un acceso ilimitado a los datos personales de los trabajadores.

Revisar las políticas internas sobre uso de móviles personales, aplicaciones corporativas y sistemas de geolocalización puede evitar importantes riesgos sancionadores y garantizar que la digitalización laboral se ajuste realmente a las exigencias actuales de protección de datos.

Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.

Un cordial saludo,