La Agencia Española de Protección de Datos (AEPD) ha sancionado con 200.000 euros a Ares Capital por obligar a sus empleados a utilizar su móvil personal e instalar aplicaciones que monitoreaban de forma exhaustiva su geolocalización, mensajes y otros datos privados. Las aplicaciones capturaban información sensible, incluyendo grabaciones de audio y datos de salud, vulnerando el principio de minimización de datos.
Aunque la empresa alegó que el monitoreo era estrictamente laboral y ofrecía dispositivos corporativos según disponibilidad, la AEPD determina que estas exigencias son desproporcionadas. El procedimiento sancionador se inició después de que uno de los trabajadores, conductor de VTC, reclamara a la agencia.
Este, en concreto, denunció que la compañía le obligaba a utilizar su móvil personal en el ámbito laboral y descargar cuatro aplicaciones que monitorizaban de forma continua y exhaustiva (las 24 horas) su ubicación, mensajes, llamadas y otros parámetros de actividad. Además, señaló que no se le había informado suficientemente sobre el alcance de los datos recopilados en su dispositivo.
Durante la investigación, quedó probado que las aplicaciones que la entidad exigía instalar solicitaban permisos muy invasivos, recopilando datos como la ubicación continua, información sobre la salud y el estado físico, contactos, información financiera, audios (grabaciones de voz), fotos y vídeos.
Defensa de la empresa
En su defensa, la compañía alegó que el uso del teléfono personal no era estrictamente obligatorio, sino una “opción” por la cual el trabajador recibía una compensación económica mensual, teniendo también la posibilidad de solicitar un teléfono móvil corporativo.
Asimismo, justificó que las aplicaciones eran herramientas operativas indispensables para conectar con clientes sin coste de tarifa móvil, gestionar servicios y utilizar llaves digitales (vía Bluetooth) para acceder a la flota de vehículos.
No obstante, la propia empresa reconoció que la provisión de teléfonos corporativos estaba sujeta a la disponibilidad de recursos y a sus limitaciones presupuestarias y de plantilla. Además, exigían la instalación obligatoria de estas aplicaciones en los dispositivos y prohibían expresamente a los empleados modificar cualquier característica del terminal o de sus aplicaciones.
Tres multas por infringir el Reglamento General de Protección de Datos
Tras analizar el caso, la AEPD determinó que la empresa cometió tres infracciones graves del Reglamento General de Protección de Datos (RGPD). Primero, existió una vulneración del principio de minimización de datos (artículo 5.1.c del RGPD). La agencia concluyó que las aplicaciones requeridas por la empresa recopilaban muchos más datos de los estrictamente necesarios para desempeñar las funciones laborales, tales como la geolocalización continua, el estado físico de los empleados, fotos y vídeos. Por esta infracción se le impuso una sanción de 100.000 euros.
En segundo lugar, se produjo una falta de licitud del tratamiento (artículo 6.1 del RGPD). Aunque la empresa se amparaba en el consentimiento del trabajador para usar su teléfono personal, la AEPD dictaminó que dicho consentimiento no era libre ni válido. Al no garantizar la entrega inmediata de un terminal corporativo (por depender del presupuesto de la entidad), el trabajador se veía forzado a usar su propio móvil. En el ámbito laboral, el desequilibrio de poder hace que el consentimiento no sea legítimo si el empleado no tiene una alternativa real sin sufrir perjuicios. Por esta vulneración se impuso una multa de 80.000 euros.
Por último, se produjo también una vulneración del derecho a la información (artículo 13 del RGPD). La compañía no cumplió con su deber de informar de manera transparente y clara a los trabajadores sobre qué datos personales estaban siendo recopilados por las aplicaciones obligatorias, con quién se compartían y cómo podían ejercer sus derechos. Tampoco se les informó de forma adecuada sobre cómo gestionar la desconexión digital de estas apps al finalizar su jornada laboral. Esta falta se sancionó con 20.000 euros.
De ese modo, la sanción total asciende a 200.000 euros. Adicionalmente, la AEPD ordenó a la empresa adoptar medidas correctivas en un plazo máximo de 2 meses, debiendo acreditar que han dejado de recopilar datos que excedan los estrictamente necesarios para el trabajo; que disponen de una base de licitud legal válida para tratar los datos en los teléfonos personales, o de lo contrario, cesar en dicha práctica; y que han informado adecuadamente a sus trabajadores sobre el tratamiento de sus datos mediante estas aplicaciones y sobre cómo realizar la desconexión al finalizar la jornada laboral.