La Agencia Española de Protección de Datos (AEPD) ha sancionado con 200.000 euros a una empresa del sector de vehículos de transporte con conductor (VTC) por prácticas consideradas excesivas en el control de sus trabajadores. La resolución pone el foco en el uso de aplicaciones móviles que monitorizaban de forma constante la actividad de los conductores, vulnerando principios básicos de protección de datos.
Control laboral que traspasa los límites legales
El caso se inició tras la denuncia de uno de los conductores en 2024. Según su reclamación, la empresa obligaba a instalar varias aplicaciones en sus teléfonos personales como condición para trabajar. Estas herramientas permitían un seguimiento continuo de la actividad del empleado, incluyendo su geolocalización, comunicaciones e incluso otros parámetros más allá del ámbito estrictamente laboral.
Aunque la compañía defendió que dichas aplicaciones eran necesarias para la organización del trabajo (como la asignación de servicios, control de horarios o evaluación del rendimiento), la AEPD concluyó que el nivel de supervisión era desproporcionado.
Recopilación de datos excesiva
Uno de los aspectos más graves detectados fue la recopilación de información no necesaria para la prestación del servicio. Entre los datos recogidos se incluían imágenes, vídeos e incluso información relacionada con la actividad física o el estado de salud de los trabajadores.
Este tipo de prácticas vulnera el principio de minimización de datos recogido en el Reglamento General de Protección de Datos (RGPD), que establece que solo deben tratarse los datos estrictamente necesarios para una finalidad concreta.
Falta de transparencia
Además del exceso en la recopilación de datos, la empresa tampoco informó de forma clara a los conductores sobre el alcance del tratamiento de su información personal. La AEPD considera que esto incumple las obligaciones de transparencia exigidas por la normativa europea.
Como consecuencia, se han infringido varios artículos del RGPD relacionados con la licitud del tratamiento, el deber de información y la limitación de los datos recopilados.
Obligación de corregir las prácticas
Junto a la sanción económica, la Agencia ha ordenado a la empresa que adapte sus procedimientos en un plazo máximo de dos meses. Entre las medidas exigidas se incluye garantizar que el uso de dispositivos personales tenga una base legal adecuada, limitar la recogida de datos a lo imprescindible y mejorar la información facilitada a los trabajadores.
Un aviso para el sector
Este caso supone un nuevo aviso para las empresas que utilizan tecnologías de control laboral. La digitalización y el uso de aplicaciones móviles en el entorno profesional deben respetar los derechos fundamentales de los trabajadores, especialmente en lo relativo a la privacidad.
La resolución subraya que el control empresarial no puede extenderse sin límites ni invadir la esfera personal del empleado, incluso cuando se utilizan herramientas tecnológicas para mejorar la gestión del trabajo.
Recomendaciones de protección de datos para empresas VTC
El uso de tecnología es esencial en el sector VTC, pero debe aplicarse respetando la normativa vigente en materia de privacidad. A raíz de sanciones como la impuesta por la Agencia Española de Protección de Datos, es clave que las empresas adopten buenas prácticas para evitar riesgos legales y proteger los derechos de sus trabajadores.
1. Aplicar el principio de minimización de datos
Las empresas deben recoger únicamente los datos estrictamente necesarios para la prestación del servicio. Información como la geolocalización puede ser justificable durante la jornada laboral, pero no fuera de ella ni en ámbitos personales.
2. Separar dispositivos personales y profesionales
Siempre que sea posible, se recomienda proporcionar dispositivos corporativos. Obligar a los empleados a instalar aplicaciones en sus móviles personales puede suponer una intromisión en su privacidad si no se establecen límites claros.
3. Informar de forma transparente
Los conductores deben conocer qué datos se recogen, con qué finalidad, durante cuánto tiempo se almacenan y quién tiene acceso a ellos. Esta información debe proporcionarse de manera clara y accesible.
4. Limitar la monitorización
El control laboral debe ser proporcional. La monitorización continua o la recopilación de datos no relacionados directamente con el trabajo puede vulnerar el Reglamento General de Protección de Datos.
5. Establecer una base legal adecuada
Toda recogida y tratamiento de datos debe apoyarse en una base jurídica válida, como el cumplimiento de un contrato laboral o una obligación legal. El consentimiento del trabajador, en muchos casos, no es suficiente si existe desequilibrio entre las partes.
6. Realizar evaluaciones de impacto
Cuando se utilizan tecnologías de seguimiento o control intensivo, es recomendable llevar a cabo una evaluación de impacto en protección de datos (EIPD) para identificar y mitigar riesgos.
7. Formar a empleados y directivos
La concienciación interna es clave. Tanto responsables como trabajadores deben entender los límites legales del uso de datos personales en el entorno laboral.
Preguntas frecuentes
¿Es obligatorio informar a los trabajadores sobre el uso de sus datos?
Sí. Las empresas deben informar de forma clara y transparente sobre qué datos se recogen, con qué finalidad, durante cuánto tiempo y quién puede acceder a ellos.
¿Puede la empresa usar el consentimiento del trabajador como base legal?
En el ámbito laboral, el consentimiento no siempre es válido debido a la relación de dependencia. Normalmente se recurre a la ejecución del contrato o a obligaciones legales.
¿Qué riesgos existen si no se cumple la normativa de protección de datos?
Las empresas pueden enfrentarse a sanciones económicas importantes, como la impuesta por la AEPD, además de daños reputacionales y posibles reclamaciones de los trabajadores.
¿Qué debe hacer una empresa VTC para cumplir con el RGPD?
Debe aplicar medidas como la minimización de datos, la transparencia, la limitación del control laboral, el uso de bases legales adecuadas y la realización de evaluaciones de impacto cuando sea necesario.
En Forlopd trabajamos para que empresas de diferentes sectores puedan adaptar sus procesos a las normativas vigentes sobre protección de datos. Si tu negocio se encuentra en esta necesidad y quieres evitar costosas sanciones administrativas, puedes solicitarnos más información y nuestros técnicos te guiarán.
