Responsabilidad Social

La protección de datos entra de lleno en el uso laboral del teléfono privado

La protección de datos entra de lleno en el uso laboral del teléfono privado avalora consultores

La protección de datos entra de lleno en el uso laboral del teléfono privado

La Agencia Española de Protección de Datos (AEPD) ha publicado una resolución que puede marcar un antes y un después en la forma en que muchas empresas utilizan aplicaciones móviles dentro de su organización diaria.

El expediente EXP202411411 analiza el caso de una empresa de VTC que obligaba a sus conductores a instalar aplicaciones corporativas en sus teléfonos personales cuando no disponían de terminal corporativo. Y aunque esta práctica se ha normalizado en numerosos sectores, la Agencia deja claro que el uso del móvil privado como herramienta laboral tiene importantes límites legales.

El teléfono personal sigue siendo un espacio privado

Cada vez es más habitual que las empresas gestionen tareas laborales mediante aplicaciones móviles relacionadas con: Control horario Geolocalización Gestión comercial Comunicación interna Reparto y logística Organización de turnos Fichajes y accesos remotos

El problema aparece cuando estas herramientas terminan instalándose directamente en dispositivos privados de los trabajadores y comienzan a acceder a datos personales que exceden claramente de lo necesario para desarrollar la actividad profesional.

La AEPD recuerda que la digitalización empresarial no permite acceder indiscriminadamente a la esfera privada del trabajador ni trasladar al empleado los riesgos derivados de la infraestructura tecnológica de la empresa.

El consentimiento del trabajador no siempre es válido

Uno de los aspectos más relevantes de la resolución es el análisis sobre el consentimiento del empleado.

La empresa defendía que los trabajadores podían elegir entre utilizar un móvil corporativo o su teléfono personal, recibiendo incluso una compensación económica mensual. Sin embargo, la AEPD considera que dicha elección no era realmente libre porque la disponibilidad de dispositivos corporativos dependía de los recursos y presupuesto existentes.

La Agencia recuerda que, en el ámbito laboral, el consentimiento debe analizarse con especial cautela debido al desequilibrio entre empresa y trabajador.

En otras palabras: si para poder trabajar el empleado termina viéndose obligado a utilizar su dispositivo personal, difícilmente puede hablarse de una decisión completamente voluntaria.

La AEPD cuestiona el acceso excesivo a datos personales

La resolución también pone el foco en el principio de minimización de datos recogido en el RGPD.

La Agencia detectó que algunas aplicaciones permitían acceder a: Datos de ubicación Fotografías y vídeos Grabaciones de voz Contactos Información relacionada con el estado físico del trabajador

La AEPD considera que muchos de estos permisos resultaban desproporcionados respecto a la finalidad laboral alegada por la empresa.

Por ello, recuerda que las organizaciones deben justificar claramente: Qué datos necesitan Para qué los necesitan Por qué son imprescindibles Durante cuánto tiempo los utilizan Qué límites existen sobre su tratamiento

La desconexión digital debe ser real

Otro aspecto especialmente importante de la resolución es la desconexión digital.

La empresa alegaba que los trabajadores podían cerrar las aplicaciones fuera de su jornada laboral. Sin embargo, la Agencia considera insuficiente esa explicación porque no quedaba acreditado: Cuándo cesaba realmente la geolocalización Qué controles seguían activos Qué datos continuaban tratándose Cómo debía producirse la desconexión efectiva

La AEPD deja entrever una idea clara: la desconexión digital no puede quedarse en una simple cláusula interna. Debe ser comprensible, transparente y técnicamente efectiva.

Qué implica esta resolución para las empresas

Aunque el expediente afecta a una empresa de VTC, el alcance práctico es mucho mayor.

Miles de organizaciones utilizan actualmente políticas BYOD (“Bring Your Own Device”), permitiendo o exigiendo que los trabajadores utilicen sus dispositivos personales para tareas corporativas.

La resolución obliga a revisar con detalle: El uso de aplicaciones corporativas Los sistemas de geolocalización Las políticas de desconexión digital Las bases jurídicas del tratamiento de datos La proporcionalidad de los permisos solicitados

Además, la AEPD impuso una sanción de 200.000 euros y exigió la adopción de medidas correctivas concretas en un plazo máximo de dos meses.

Una advertencia clara sobre la digitalización laboral

La resolución refleja un cambio importante en la forma de interpretar la protección de datos dentro de las empresas.

El cumplimiento normativo ya no se analiza únicamente desde documentos o cláusulas contractuales. La Agencia comienza a examinar directamente cómo funciona realmente la operativa diaria de las organizaciones.

Por ello, revisar las políticas internas sobre uso de móviles personales, aplicaciones corporativas y monitorización digital resulta esencial para reducir riesgos sancionadores y garantizar el cumplimiento del RGPD.

En Avalora Consultores ayudamos a las empresas a adaptar sus procesos de digitalización y protección de datos a las exigencias actuales de la normativa.