La Agencia Española de Protección de Datos (AEPD) ha sancionado a Ares Capital, S.A., empresa española dedicada a la prestación de servicios de transporte privado de viajeros a través de licencias VTC, por el tratamiento de los datos personales de sus conductores mediante la utilización de aplicaciones móviles instaladas en sus dispositivos personales.
El 23 de julio de 2024, un trabajador de la compañía interpuso una reclamación ante la AEPD al considerar que la empresa le obligaba a utilizar su teléfono móvil personal para fines laborales y a instalar en él diversas aplicaciones que monitorizaban de forma continua su actividad (incluyendo ubicación, mensajes y llamadas, entre otros parámetros). Asimismo, el reclamante señalaba no haber sido debidamente informado sobre el alcance del tratamiento de sus datos personales.
En este contexto, Ares Capital ofrecía a sus trabajadores la posibilidad de utilizar un terminal corporativo o su propio dispositivo móvil. No obstante, el uso de teléfonos personales se veía favorecido debido a la limitada disponibilidad de dispositivos de empresa. En tales casos, la instalación de varias aplicaciones resultaba obligatoria para el desempeño del trabajo, estando estas ya preinstaladas en los terminales corporativos.
A través de dichas aplicaciones, la empresa recopilaba diversos datos personales de los trabajadores, como información personal (nombre, dirección de correo, número de teléfono), geolocalización continúa aproximada y precisa, fotos, grabaciones de voz y videos o información sobre el estado físico de dichos trabajadores. Además, los empleados no podan modificar la configuración ni los permisos de estas aplicaciones sin autorización expresa de la empresa.
La AEPD acuerda iniciar procedimiento sancionador contra Ares Capital apreciando varias infracciones del Reglamento General de Protección de Datos (RGPD);
Infracción del artículo 5.1.c) del RGPD: La AEPD señala que, cuando se utilizan dispositivos personales para fines laborales, lo datos tratados deben limitarse a los estrictamente necesarios para la ejecución de la relación laboral. Sin embargo, las aplicaciones impuestas por la empresa recopilaban una cantidad excesiva de información (como geolocalización continua, fotografías, vídeos o datos sobre el estado físico de los conductores) que excedía lo necesario para la prestación del servicio.
Infracción del artículo 6.1 del RGPD: La Agencia concluye que no había una base jurídica válida para el tratamiento de los datos personales en los dispositivos móviles de los trabajadores. En particular, destaca que el consentimiento no podía considerarse como libre y voluntario, ya que el uso del teléfono personal venía impuesto ante la falta de dispositivos corporativos y la instalación de aplicaciones era obligatoria para poder desempeñar el trabajo, lo que impedía una verdadera capacidad de consentimiento por parte del trabajador.
Infracción del artículo 13 del RGPD: al AEPD considera que la empresa no cumplió adecuadamente con su obligación de informar a los trabajadores sobre el tratamiento de sus datos personales, al no haberles facilitado de forma clara y completa, sobre os datos recabados a través de las aplicaciones, ni sobre el tratamiento de los mismos.
Como consecuencia de lo anterior, la AEPD impone a Ares Capital una multa 200.000€ y requiere a la empresa para que, en el plazo de dos meses, adopte las siguientes medidas:
- Garantizar el cumplimiento del principio de minimización de datos, limitando la recogida a lo estrictamente necesario.
- Acreditar la existencia de una base de licitud válida para el tratamiento o, en su defecto, cesar en el mismo.
- Informar adecuadamente a los trabajadores sobre el tratamiento de sus datos y sobre la desconexión de las aplicaciones fuera del horario laboral.