La Agencia Española de Protección de Datos (AEPD) ha sancionado a la empresa de vehículos de transporte con conductor (VTC) Ares Capital S.A. –vinculada a Uber– con una multa total de 200.000 euros por obligar a sus trabajadores a instalar hasta cuatro aplicaciones laborales en sus dispositivos móviles personales bajo condiciones que, según este organismo, vulneran la normativa europea.

La actuación de la AEPD se inició tras la reclamación presentada el 23 de julio de 2024 por uno de los conductores de la compañía, quien denunció que se le exigía utilizar su dispositivo personal en el ámbito laboral y descargar aplicaciones que monitorizaban de forma continua su ubicación, mensajes, llamadas y otros parámetros de actividad, sin haber recibido información suficiente sobre el tratamiento de sus datos personales. Tras analizar los hechos, la AEPD concluye que se produjeron varias infracciones del Reglamento General de Protección de Datos (RGPD), imponiendo tres sanciones a la empresa de VTC, Ares Capital, que está vinculada con el grupo Moove Cars, que presta servicios a través de la plataforma Uber. 

Invasión de la privacidad

La infracción más grave se debe a que "estas aplicaciones recopilan más datos de los estrictamente necesarios, como geolocalización continua, fotos y vídeos o información sobre el estado físico, lo que constituye una vulneración del principio de minimización de datos", según consta en la resolución de la AEPD a la que ha tenido acceso 65YMÁS. Por la vulneración de este principio fundamental presente en el artículo 5.1.c del RGPD, la autoridad ha impuesto una sanción de 100.000 euros.

En su respuesta a la AEPD, la empresa sostuvo que los trabajadores podían optar entre solicitar un móvil corporativo o utilizar el suyo propio, con una compensación mensual por ese uso. Sin embargo, la propia resolución destaca que la disponibilidad de terminales corporativos quedaba supeditada a los recursos y al presupuesto de la compañía, de modo que, en la práctica, el uso del móvil personal podía venir impuesto cuando no hubiera dispositivo de empresa disponible.

La "trampa" de la disponibilidad del móvil

A raíz de esto, la AEPD determinó que "el hecho de que el móvil corporativo no esté disponible desde el primer momento hace que el consentimiento para acceder a los datos personales del móvil del empleado no sea libre". Según el RGPD, el consentimiento debe ser "una manifestación de voluntad libre, específica, informada e inequívoca del interesado". En este caso, la falta de alternativas reales (apenas había dispositivos corporativos) convertía la aceptación en una condición necesaria para poder trabajar, lo que invalida su carácter voluntario. Por lo que la agencia fija una sanción de multa administrativa de 80.000 euros", la segunda que le impone, en base a los artículos 83.2 del RGPD y 76.2 de la LOPDGD.

Además, la agencia ha impuesto una tercera sanción de 20.000 euros por el incumplimiento del deber de transparencia. El dictamen concluye que Ares Capital "no ha informado suficientemente a sus trabajadores sobre los datos recolectados por las aplicaciones que están obligados a descargar, así como sobre la desconexión de estas al finalizar la jornada laboral". La normativa exige detallar "los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento", algo que no se cumplió de forma adecuada y obliga a la empresa a regularizar su situación.