L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat al seu web una resolució especialment rellevant per a moltes empreses que utilitzen aplicacions mòbils com a part habitual de la seva organització interna. L’expedient EXP202411411 analitza el cas d’una companyia de VTC que obligava els seus conductors a instal·lar diverses aplicacions laborals en els seus telèfons personals quan no disposaven de terminal corporatiu.

La qüestió no és menor perquè la resolució aborda un problema que s’ha estès silenciosament en nombrosos sectors. Empreses que, per raons operatives o econòmiques, traslladen part de la seva estructura tecnològica al dispositiu privat del treballador. I aquí comencen a barrejar-se dos mons que jurídicament no sempre encaixen bé. L’àmbit professional i l’esfera privada.

L’AEPD deixa bastant clar que no n’hi ha prou amb al·legar necessitats organitzatives, geolocalització del servei o millora operativa. Quan una empresa empra el mòbil personal dels seus empleats com a eina de treball, entra automàticament en joc una sèrie de límits relacionats amb la privacitat, la proporcionalitat i la protecció de dades personals.

El cas resulta especialment rellevant perquè l’Agència no sanciona únicament l’existència de geolocalització o d’aplicacions laborals, sinó l’excés en l’accés a dades i la falta d’una veritable alternativa real per al treballador.

• Atenció. L’ús del telèfon personal per a treballar pot generar importants riscos legals. L’empresa no pot accedir indiscriminadament a dades del dispositiu privat. L’AEPD està incrementant el control sobre la digitalització laboral.

El consentiment del treballador no sempre és vàlid en l’àmbit laboral

Un dels aspectes més importants de tota la resolució és l’anàlisi que realitza l’AEPD sobre el suposat consentiment dels treballadors. L’empresa defensava que els conductors podien triar entre utilitzar un mòbil corporatiu o el seu telèfon personal, rebent fins i tot una compensació econòmica mensual per això. No obstant això, l’Agència conclou que aquesta elecció no era realment lliure perquè la disponibilitat de terminals corporatius depenia del pressupost i dels recursos existents a cada moment. I precisament aquí apareix un dels grans missatges d’aquesta resolució.

En matèria de protecció de dades laborals, el consentiment del treballador sol analitzar-se amb enorme cautela a causa del desequilibri entre empresa i empleat. L’AEPD recorda expressament que, si el treballador no disposa des del principi d’una alternativa real i efectiva, el consentiment perd gran part de la seva validesa jurídica.

Dit d’una forma molt més senzilla. Si per a poder treballar l’empleat acaba veient-se obligat a usar el seu mòbil personal, difícilment es pot parlar d’una decisió completament lliure. I això afecta directament la legitimitat del tractament de dades fet per l’empresa.

• Atenció. El consentiment del treballador no sempre legitima el tractament de dades. La falta d’alternativa real pot invalidar la suposada acceptació de l’empleat. Compensar econòmicament l’ús del mòbil personal no elimina automàticament el risc legal.

L’AEPD qüestiona l’accés excessiu a dades personals

Un altre dels elements centrals de la resolució té a veure amb el principi de minimització de dades recollit en el RGPD.

L’Agència detecta que algunes de les aplicacions obligatòries instal·lades en els dispositius permetien accedir a informació que excedia clarament del necessari per a la prestació del servei laboral. Entre els permisos analitzats apareixien dades d’ubicació, fotografies, vídeos, gravacions de veu, contactes i fins i tot informació relacionada amb l’estat físic del treballador.

I aquí convé detenir-se un moment perquè la resolució llança un advertiment bastant clar. El fet que una aplicació existeixi comercialment o funcioni tècnicament no significa automàticament que es pugui utilitzar lliurement en l’àmbit laboral.

L’empresa ha de justificar exactament:

• Quines dades necessita.
• Per a què els necessita.
• Per què són imprescindibles.
• Durant quant temps les utilitza.
• Quins límits existeixen sobre el seu tractament.

L’AEPD entén que bona part dels permisos detectats resultaven desproporcionats respecte a la finalitat laboral al·legada per l’empresa. I precisament per això imposa una sanció específica per vulneració del principi de minimització de dades.

La desconnexió digital ja no es pot quedar en una simple declaració interna

La resolució també posa el focus sobre una qüestió que moltes empreses continuen tractant de forma bastant superficial. La desconnexió digital.

La companyia sancionada defensava que els treballadors podien tancar les aplicacions fora de la seva jornada laboral i que fins i tot se’ls havia explicat com fer-ho. No obstant això, l’AEPD considera insuficient aquesta informació perquè no quedava clarament acreditat:

• Com s’havia de produir realment la desconnexió.
• Quines dades continuaven tractant-se mentre les apps romanien instal·lades.
• Quins controls continuaven actius.
• Quan cessava realment la geolocalització.

Això és important perquè moltes organitzacions continuen pensant que n’hi ha prou amb incorporar una clàusula genèrica sobre desconnexió digital en contractes o manuals interns. L’Agència deixa entreveure una idea bastant diferent. La desconnexió ha de ser real, comprensible i tècnicament efectiva.

Especialment, quan les aplicacions romanen instal·lades dins de dispositius privats que contenen bona part de la vida personal del treballador.

• Atenció. La desconnexió digital ha de funcionar realment i no sols existir sobre el paper. L’empresa ha d’explicar clarament quan cessa la geolocalització o monitoratge. Les apps instal·lades en mòbils privats exigeixen especial transparència informativa.

Com afecta les empreses aquesta resolució

Encara que l’expedient es refereix a conductors de VTC, l’impacte pràctic d’aquesta resolució és moltíssim més ampli. Actualment, milers d’empreses utilitzen aplicacions mòbils per a:

• Control horari.
• Comunicació interna.
• Gestió comercial.
• Repartiment i logística.
• Geolocalització.
• Control de rutes.
• Fitxatges.
• Accés remot.
• Gestió d’incidències.
• Organització de torns.

I en molts casos aquestes eines acaben instal·lant-se directament en dispositius privats de treballadors perquè resulta més barat, més ràpid o més còmode operativament. El problema és que l’AEPD comença a marcar límits bastant clars a aquesta pràctica. La resolució recorda que la digitalització empresarial no permet accedir indiscriminadament a dades de l’entorn privat de l’empleat ni traslladar al treballador els riscos derivats de la infraestructura tecnològica de l’empresa.

I això obligarà moltes organitzacions a revisar amb bastant deteniment les seves polítiques BYOD (Bring Your Own Device), l’ús d’aplicacions corporatives i els sistemes de geolocalització actualment implantats.

Sanció

Encara que la sanció econòmica ascendeix a 200.000 euros, probablement el més important de la resolució no és únicament l’import. L’AEPD ordena a més a l’empresa adoptar mesures correctives concretes en un termini màxim de dos mesos, entre elles:

• Garantir el principi de minimització de dades.
• Acreditar una base jurídica vàlida per al tractament en mòbils personals.
• Complir adequadament el deure d’informació respecte a l’ús de les aplicacions i la seva desconnexió.

És a dir, l’Agència no es limita a sancionar econòmicament, sinó que obliga a revisar completament el model de funcionament implantat.

I això reflecteix una cosa important. La protecció de dades ja no s’està interpretant únicament com una qüestió documental o contractual. Es comença a analitzar directament des de la realitat operativa diària de les empreses.

A tenir en compte…

La resolució publicada per l’AEPD probablement marcarà un punt d’inflexió en la forma en què moltes empreses utilitzen aplicacions mòbils dins de la seva organització diària. Durant anys s’ha normalitzat que els treballadors facin servir els seus propis telèfons per a gestionar tasques laborals, instal·lar eines corporatives o permetre sistemes de geolocalització contínua. En molts casos, fins i tot amb absoluta naturalitat.

No obstant això, l’Agència recorda ara una cosa que moltes organitzacions havien acabat oblidant. El telèfon personal continua sent, abans de res, un espai privat.

I precisament per això les empreses han d’actuar amb moltíssima cautela quan la seva operativa tecnològica comença a penetrar dins d’aquest àmbit personal.

Perquè l’eficiència organitzativa, l’estalvi de costos o la comoditat operativa no eliminen les obligacions derivades del RGPD ni permeten un accés il·limitat a les dades personals dels treballadors.

Revisar les polítiques internes sobre ús de mòbils personals, aplicacions corporatives i sistemes de geolocalització pot evitar importants riscos sancionadors i garantir que la digitalització laboral s’ajusti realment a les exigències actuals de protecció de dades.