La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a una empresa con una multa total de 200.000 € por diversas infracciones del Reglamento General de Protección de Datos (en adelante, “RGPD”), derivadas del uso obligatorio de aplicaciones móviles en los dispositivos personales de sus trabajadores.
La reclamación fue presentada por un trabajador que denunciaba que la empresa le obligaba a utilizar su teléfono móvil personal para fines laborales y a instalar varias aplicaciones que recopilaban datos de forma continua, incluyendo geolocalización, contactos, grabaciones de voz, imágenes e incluso información relativa a su estado físico.
La AEPD constató que, aunque la empresa ofrecía en ocasiones teléfonos corporativos, en la práctica muchos trabajadores debían utilizar sus dispositivos personales, quedando obligados a instalar aplicaciones con amplios permisos de acceso a datos personales. Asimismo, se comprobó que dichas aplicaciones recopilaban información excesiva para las finalidades declaradas y que los trabajadores no podían modificar sus permisos ni evitar su uso.
La AEPD fundamenta la sanción en los siguientes extremos:
- Vulneración del principio de minimización de datos (art. 5.1.c RGPD): las aplicaciones obligatorias recopilaban datos personales no necesarios para la finalidad laboral, como información de salud, contactos, grabaciones o contenido multimedia.
- Falta de base de licitud del tratamiento (art. 6.1 RGPD): el tratamiento de datos personales a través de dispositivos móviles personales no contaba con una base jurídica válida, ya que el consentimiento de los trabajadores no se consideró libre debido al desequilibrio existente en la relación laboral.
- Deficiencias en la información proporcionada (art. 13 RGPD): los trabajadores no fueron adecuadamente informados sobre el alcance real del tratamiento de sus datos personales ni sobre las funcionalidades de las aplicaciones instaladas.
Por todo lo anterior, la AEPD impone a la entidad las siguientes sanciones:
- 000 € por infracción del art. 5.1.c) RGPD (principio de minimización de datos).
- 000 € por infracción del art. 6.1 RGPD (licitud del tratamiento).
La resolución recuerda que, en el ámbito laboral, el tratamiento de datos personales debe ajustarse al principio de minimización, limitándose a aquellos datos que resulten adecuados, pertinentes y necesarios para la finalidad perseguida. Además, refleja que el uso de dispositivos personales de los trabajadores puede plantear riesgos adicionales cuando implique el acceso a información vinculada a su esfera privada, y que el consentimiento como base de licitud debe valorarse atendiendo al desequilibrio existente entre empleador y empleado.
