+34 93 265 52 40 / +34 93 265 53 60

info@agusti-asociados.com

Área clientes

Protección de datos: lo que la empresa debe saber sobre el uso del móvil personal

La digitalización ha transformado la forma en que muchas empresas organizan su actividad diaria. Las aplicaciones móviles para control horario, gestión de rutas, comunicación interna o geolocalización son ya una herramienta habitual en sectores muy diversos. Sin embargo, cuando esas herramientas se trasladan al teléfono personal del trabajador, entran en juego obligaciones que la normativa de protección de datos exige cumplir con rigor.

La Agencia Española de Protección de Datos (AEPD) acaba de recordarlo de forma contundente a través del expediente EXP202411411, en el que sanciona a una empresa de transporte con 200.000 euros por las irregularidades detectadas en el uso que hacía de los dispositivos personales de sus conductores. La resolución, más allá de su importe, establece criterios de obligado seguimiento para cualquier organización que opere de manera similar.

Cuándo la empresa entra en un terreno jurídicamente delicado

El supuesto analizado por la AEPD no es excepcional. La compañía sancionada utilizaba diversas aplicaciones laborales en los teléfonos personales de sus conductores cuando no disponía de terminal corporativo disponible. Para compensarlo, abonaba una cantidad mensual a los trabajadores que optaban por esta modalidad.

A primera vista, la solución podría parecer razonable. La Agencia, sin embargo, identificó dos problemas de fondo que conviene tener muy presentes.

El primero tiene que ver con la base jurídica del tratamiento de datos. La empresa justificaba su actuación en el consentimiento de los trabajadores. Pero la AEPD recuerda que, en el ámbito laboral, el consentimiento del empleado no siempre es jurídicamente válido. La relación de dependencia que existe entre empresa y trabajador puede condicionar la libertad real de quien presta su conformidad. Y si, además, la disponibilidad de terminales corporativos dependía del presupuesto de la compañía en cada momento —es decir, no estaba garantizada—, la supuesta alternativa no era realmente tal. La compensación económica, por sí sola, no subsana esta carencia.

El segundo problema es aún más amplio: las aplicaciones instaladas en los dispositivos personales accedían a datos que excedían con claridad lo necesario para el desarrollo de la actividad laboral. Ubicación, fotografías, contactos, grabaciones de voz o información sobre el estado físico del trabajador figuraban entre los permisos activos. Datos que pertenecen, inequívocamente, a la esfera privada de la persona.

El principio de minimización: solo los datos estrictamente necesarios

Uno de los ejes centrales de la ley de protección de datos —tanto del RGPD como de la LOPDGDD— es el principio de minimización. Las empresas únicamente pueden tratar aquellos datos que resulten adecuados, pertinentes y limitados a lo estrictamente necesario para la finalidad perseguida.

Este principio obliga a las organizaciones a justificar con precisión cada permiso que activan en los dispositivos de sus empleados: qué datos recogen, para qué los necesitan, por qué no existe una alternativa menos intrusiva y durante cuánto tiempo los conservan. No basta con que una aplicación esté disponible en el mercado o funcione técnicamente. La empresa debe poder acreditar que su uso es proporcionado a la finalidad laboral que alega.

En el caso analizado, la AEPD concluyó que una parte significativa de los permisos detectados no superaba ese examen de proporcionalidad. Y ese fue uno de los motivos específicos de sanción.

La desconexión digital no puede quedarse sobre el papel

La resolución aborda también una cuestión que muchas empresas gestionan de forma insuficiente: el derecho a la desconexión digital de los trabajadores. La compañía sancionada había informado a sus empleados de que podían cerrar las aplicaciones fuera de la jornada laboral e incluso les había explicado el procedimiento. La AEPD considera que eso no es suficiente.

Lo que la Agencia exige es que la desconexión sea técnicamente efectiva y verificable, no una mera declaración de buenas intenciones. La empresa debe poder acreditar con claridad en qué momento cesa la geolocalización, qué datos dejan de tratarse al finalizar la jornada y qué controles dejan de estar activos. Cuando las aplicaciones permanecen instaladas en un dispositivo privado que contiene información personal del trabajador, esa exigencia de transparencia se intensifica.

Incluir una cláusula genérica sobre desconexión digital en el contrato o en el manual de empleados ya no es suficiente. La norma exige que esa desconexión funcione realmente.

Un problema que va más allá del transporte

Aunque la resolución tiene su origen en el sector del transporte de viajeros, los criterios que establece son aplicables a cualquier empresa que, por razones operativas o económicas, utilice el teléfono personal de sus trabajadores como herramienta de trabajo. Y ese supuesto es hoy mucho más frecuente de lo que podría parecer.

Empresas del sector logístico, comercial, sanitario, de servicios o del comercio minorista utilizan habitualmente aplicaciones de fichaje, geolocalización, mensajería corporativa o gestión de incidencias que terminan instaladas en dispositivos privados. Las políticas BYOD (Bring Your Own Device) se han extendido en los últimos años impulsadas por el ahorro en equipamiento, pero pocas veces han ido acompañadas de un análisis riguroso sobre sus implicaciones en materia de protección de datos.

La AEPD no solo impone una multa en este caso: ordena además la adopción de medidas correctivas concretas en un plazo máximo de dos meses, incluyendo la revisión de la base jurídica del tratamiento, la garantía del principio de minimización y el cumplimiento efectivo del deber de información. La Agencia, en definitiva, no sanciona únicamente el pasado. Obliga a corregir el presente.

Qué debe revisar la empresa sobre protección de datos

La protección de datos de los trabajadores es una obligación legal que no admite soluciones de compromiso. Cualquier empresa que utilice aplicaciones móviles en el contexto laboral —especialmente si estas se instalan en dispositivos personales— debería verificar, como mínimo, si existe una base jurídica sólida para ese tratamiento, si las aplicaciones utilizadas acceden únicamente a los datos estrictamente necesarios y si la política de desconexión digital tiene efectos técnicos reales y demostrables.

Actuar antes de que llegue una inspección es siempre más eficiente, y considerablemente menos costoso, que corregir después de una sanción.

En Agusti & Asociados asesoramos a empresas en materia de protección de datos y cumplimiento normativo en Barcelona. Si desea revisar sus políticas internas sobre uso de dispositivos personales, aplicaciones corporativas o sistemas de geolocalización, nuestro equipo puede orientarle para adaptar su gestión a las exigencias actuales del RGPD y la LOPDGDD.

Agusti-Asociados_asesoria-barcelona_gestoria-laboral_asesoria-fiscal-mercantil

Contacto

Calle Bailén, 71 bis, Entresuelo
08009 Barcelona

+34 93 265 52 40 / +34 93 265 53 60

info@agusti-asociados.com

Aviso Legal

Política de Privacidad
Política de Cookies
l_intituto_censores
L_graduados_sociales
l_colegio_abogados_BCN
colegio_censores-jurados-de-cuentas-de-CAT
api
colegio-de-economistas
AEDAF
Área de cliente