La autoridad de control ha impuesto a la entidad ARES CAPITAL una sanción de 200.000 euros por infringir los artículos 13 (información que deberá facilitarse cuando los datos personales se obtengan del interesado); 5.1.c) (principio de minimización de datos) y 6.1 (licitud del tratamiento) del RGPD.
La reclamación se interpuso por un conductor de VTC de la compañía debido a que, según se indicaba en la misma, la entidad le obligó a utilizar su dispositivo personal con fines laborales, teniendo que descargar cuatro aplicaciones que permitían el acceso a información de su teléfono, geolocalizando su ubicación y monitoreando los mensajes o llamadas que el conductor mantenía con los clientes (la comunicación con estos se realiza a través de la app). Adicionalmente, se ponía de manifiesto que no se había informado adecuadamente de este tratamiento de datos.
Una vez notificada la reclamación, la compañía presentó escrito de respuesta en el que se indicaba, entre otras cuestiones, que la finalidad del tratamiento era la adecuada gestión de la relación laboral, siendo los propios empleados los que podían decidir si solicitar un móvil corporativo (que tuviera instaladas por defecto las citadas aplicaciones) o utilizar el dispositivo personal, recibiendo una contraprestación por ello; que las aplicaciones no accedían a la agenda o a los números de contactos personales o que cuando se desconectaban de la aplicación no se monitoreaba el teléfono. En este sentido, se ponía de manifiesto que numerosos empleados decidían utilizar su propio teléfono móvil.
Adicionalmente, se indicaba que, a la vista de la reclamación, se habían adoptado diversas medidas dirigidas a reforzar la información que sobre el uso de estas aplicaciones se facilitaba a sus empleados, por cuanto se expone que “la incidencia se ha originado debido al desconocimiento por parte del trabajador/reclamante sobre el alcance y la finalidad del uso de las aplicaciones y dispositivos móviles personales”.
Del mismo modo, en relación con la entrega de dispositivos profesionales, como medida adicional, se comprometía “a proporcionar, en la medida de nuestras posibilidades y conforme a las limitaciones presupuestarias y de plantilla, dispositivos móviles corporativos a todos los trabajadores que elijan […] el uso del dispositivo móvil de la empresa para el desempeño de su trabajo”.
La autoridad de control ha declarado que, mediante el uso de estas aplicaciones, la compañía trata datos personales de los empleados como “geolocalización continua, fotos y videos o información sobre el estado físico de dichos trabajadores”. Respecto al principio de minimización de datos, la autoridad de control ha afirmado que, al instalarse aplicaciones en dispositivos personales con fines laborales, el tratamiento debe limitarse a datos “estrictamente necesarios para la ejecución de las labores encomendadas en el contrato laboral”. No obstante, como se indica, se tiene acceso a datos que no son necesarios para esta finalidad. Además, con cita de la Sentencia de la Audiencia Nacional número 136/2019, se pone de manifiesto que “La misma finalidad se podría haber obtenido con medidas que suponen una menor injerencia en los derechos fundamentales de los empleados como pudieran ser la implantación de sistemas de geolocalización en las motocicletas en las que se transportan los pedidos o las pulseras con tales dispositivos que no implican para el empleado la necesidad de aportar medios propios y lo que es más importante, ni datos de carácter personal”.
En relación con la licitud del tratamiento, se ha tenido constancia de que únicamente en función de la disponibilidad de recursos, la empresa proporciona un móvil corporativo, debiendo usar los empleados, en su defecto, el dispositivo personal. Habida cuenta de ello, la AEPD indica que “El hecho de que el móvil corporativo no esté disponible desde el primer momento hace que el consentimiento para acceder a los datos personales del móvil del empleado no sea libre”. Adicionalmente, se afirma que en el ámbito laboral es necesario acreditar en mayor medida que la no prestación del consentimiento no implicará ninguna consecuencia negativa, por la diferente posición existente entre el empleado y el empleador. En este caso, al imponerse la obligación de descargar las aplicaciones como condición para prestar el servicio no se obtiene un consentimiento válido que reúna los requisitos del RGPD, sino que se trata de una imposición que anula la validez del consentimiento recabado.
Por último, se declara por la AEPD que la compañía no ha informado adecuadamente a sus empleados sobre el tratamiento de los datos, ni sobre cuestiones relacionadas con el mismo como, el modo de gestionar la desconexión de las aplicaciones, desconociendo los trabajadores si es suficiente con cerrar sesión o si es necesario apagar el dispositivo.
Esta resolución permite poner de manifiesto la necesidad de que las empresas actúen con especial cautela al requerir a sus empleados utilizar sus dispositivos personales con fines laborales, ya que esta práctica puede implicar riesgos significativos. En este sentido, se debe evitar imponer obligaciones que puedan vulnerar la esfera personal del trabajador.
