EXP202411411 RESOLUCIÓN Sull'azienda e l'uso volontario del dispositivo personale dei propri conducenti

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

.... ... ....... ........... ... ....., ..... ......... ..... ..... (.... ....... . .. .......... ..........) . ... ...... ..... ......... .................. ............... .. ................. .. ..... (....), ...... ... ......... ........

---

---

.. ..... ....... .. .......... ..........

........

• .. .......... ........ .. .......... ... (....... ... ..........) .......... .. .... ......., .... (... .........).
• ........ ..........: .... ....... ....... . .......... (inclusi il reclamante) a:
  • .......... .. ....... ........ ......... ... ..... ...........
  • ......... ....... ............ ... .......... .. .... ........ (../.):
    • .......... ... (................. ........).
    • ........, ........, ............... ...... (... .... ..... ......, .......).
    • ..... ......... .. ............... ............. . ..........

.......... ..........

• ........ .. ........... ......: .. .......... ....... .. ... ...... ..... ............. ......... ................. . .. ............... ..... ........ .... ....... .. .............
• ......... ..... .......: .. ............ ........ . .... ... ............ ......... ... .. ........... ... ...... (... ........ ........., ...., ....., ............. .....).
• ........... ...........: ........... ... ........ ......... . ..................... ..... ... .... ..........., ..... ........... ......... (... ......... .. ........... .........).

..... ........

• ....... ....... (aprile/agosto 2024) che mostrano:
  • .... ... .. ........ ..... ............ (..................., ..................., ..................., ..................., ...................).
  • ........ ......... ..... ... (... ....... . .........., ........, ...., ....., .... ..... ......).
  • ......... ..... ....... ..... ... (... ................... . .........).

---

---

.. ......... .. .... .......

...... ..........

.... ....... .... .......... ... .... . ....... ...:

• ........ . ...........:

  • . .......... ..... ...... ............... .. ..... .. ........ ......... (........ .. ... .........).
  • ............... .... .. ........ ....... ("... ............ ........") ... ....... . ......
  • . .......... ....... ........ ....... .. ......... ....... (....... . .. ........ ......... ... ......... .. . ....).

• ............... .........: .. ............ ....... ...:

  • ........ ......... (... ................... ... ............. .......).
  • ......... (... ................. ... .......... ....... . ..........).
  • ............ ... ..... ..... (... ......... ... ........... ... ....... .......).
  • ....... .. ....... (... ................... .... "...... ........" ... .........).

• .............. ... ....:

  • .. ... ... ........ . .... ......... ... ......... (... ................... ......... .... .... .. .............. ... ....../........ . .......).
  • . ....... .. ................. .. ........... .. ....... ... ..... ...........

• ...... .......... ........ (.... .. .......):

  • .......... .. ....... . .............. ........ (.........-....... ....).
  • ......... ........... .. ........ ......... .. .......... ... .. .......... (........ .. ....... .. ......).
  • ............. ..... ......... ....... (... ........ .. .............. ........).

......... ......

• .... .........: .. ........... .... ........ .......... ... .................. ... ......... .. ...... (.... ..... ....).
• ......................: .. ...... .... ............. .... ......... (... ........., .......... .........).
• ........... ..........: .... .... ......... ... ........... ........., . .......... ....... .......... . ..... . ...... ........ ... ........ ......

---

---

---

.. ......... ............... (...............)

..... .........

............ ........ .. .............. .. .... ....... . .......:

1. ....... .. ............. ..... ...:

   • .. ............ (..................., ..................., ..................., ...................) .... ............ ... .. ........... ......... ... ..........
   • . .......... ... ....... .......... . ........ ..... ... (... ............ .. .................).

2. ........ .... .........:

   • .. ... .......... .... ... ......... per lo svolgimento del lavoro, tra cui:
     • ................. ........ (..... ..... ................. ..........).
     • .... ..... ...... (... ............... ......).
     • ........ ........., ...., ....., ............. ......
   • .......: ................... ........ ....... . .........., ........, ............ ..........., ....., ..../......

3. ........ .. .... ......... ......:

   • ........ ... ......:
     • .. .......... ... .. ... ...... .....: .. ... ... .. ........ ......... (... ........ .. ........... .........), ... .......... ........ .. .......
     • .. ............. .. ...... ... ...... .. ...... . .......... ........ .. ........ (.... .... .... . ............ ..).
   • ........ .. ........... ...........:
     • .... ....... ... .. ......... ........... i lavoratori su:
       • ......... .. .... ........ ..... ....
       • ............... .. .............. (... .. ........ ........... ........ ........... . ..... ........ .. ...........).
       • ....... ... .......... (... ......., ........., .............).

4. .......... ... ......... .. .............. (.... ..... ....):

   • .. ... .......... .......... .... ... .......... ... .. ............... .......... (... ........., ........ .........).

---

.......... .........

............ ....... ... .... ....... ..... .......:

1. .... ..... .... (Principio di minimizzazione dei dati):
   • ........ .. .... ... .......... . ......... ........ .... ................
2. .... ... .... (Liceità del trattamento):
   • ........ .. .... ......... ...... (........ ... ......, ....... .. ..... .... .... .................. ... .........).
3. .... .. .... (Diritto all’informativa):
   • ........... ............. .. .......... ... .... ........ . ... .... ........

---

---

.. ...... ..... .........

....... .. ...........

............ ....... . ....... ............... .... .... ... ........... .. ........:

• ......, .............. . ...... ..... ..........:
  • ..... .......... ............
  • .... ......... ........ (... ......, ................. ........).
• ......... .. .... .........:
  • .... ......... ........ (.........., ........, ....., .....).
• ..........:
  • ............... ........ .. ........... .... ......... (................. ........ ... ..........).
  • ........ .. ............: .... ....... ... .. .......... ........... ....... .. .............

........ ........

..........	........ ....	........	...........
......... .. ..............	.... .....	....... ......	........ .... ......... ........ .... ................
.............. ... ...........	.... ...	...... ......	........ .. .... ......... ...... (........ ... ......).
....... .....................	.... ..	...... ......	........... ............. .. ...........
......	......	....... ......	..... ..... ........ ... .. ... ...........

...... .......... ........

.... ....... .... ..... . .... ..... ........:

1. ......... .. .............. ... ....:
   • ........... .... .... ............ ......... ... .. ........... ... .......
2. ....... ... .... ......... ......:
   • ....... .. ........... ... .... ......... ... ........ ... .......... ...... .......... ... .... ...... (... ........ ...... . .........).
3. ......... . ..........:
   • ....... ........... ...... . ........ su:
     • .... ........ ..... ....
     • ............... .. .............. (... .... ............ .. ............ ..... ......).
     • ....... ... .......... (......., ........., .............).

---

---

.. ....... ..... ........... ......

............. ............ .. .......... .... .......?

1. ............. .. ......:

   • .. .......... ... .......... ......... ........... ... ........ ......... ..... ...... ........... (... .................... .. ........).
   • .. ........ ... ........ ...... (.... .... ....).

2. .... .........:

   • .. ... .......... .... ... ......... (... ......, ........ .........) ........ .. ......... .. .............. (.... .....).

3. ........ .. ...........:

   • . .......... ... .... ..... ......... in modo chiaro su:
     • ..... .... ....... .........
     • .... .............. ..... ... .. ....... ... ......
     • ....... .. ... ...... (... ........... .. ...........).

4. ..................... ..................:

   • .... ....... ........ ............ ... ........... (.... ... ....) . .... ......... ... .. ... .......... .. ...., ..... .. .......... .. ..... ......

---

---

.. ........... ........ ... .... .......

• ......... ..... .....: ....... ...... ..... . ....... ......... (......... .......... . .......... .......).
• ........... ..... . ....:
  • ........ ..... ......... ....... (... ........ . ........ ..... ...).
  • ......... .. ........... ......... . ..... . .......... ... .. ...........
  • .......... ............ .. ....... . .............. .........
• ....... .. ......... ........:
  • .. ... ......... .... ...... .........., ............ .......... ...... .. ..... ............ ..............

---

---

....... ...... . ..... .. ...........

• .... ........ .... .... ....... ... ...........?

  • .......... .. ... ... ......... ... .......... .... .... ......... (... ................. .... ....... .. .....).
  • ....... ........ ......... . ..... . .......... (.......... ............... .. ..... ........... .........).
  • ........ .. ........ ......... . ...... (... ... ....... .. ....... ..... ...........).

• ..... .... . ....... ... .......... .. ...... ....?

  • ....... .... .............. ........ (.... .. .......).
  • ....... .. ........... .. ........... ... .... ......... (.... .. ....).
  • ....... .... ............. ("....... ...............") .. . .... ... .... .......... ......... (.... .. ....).

---

.. .... ............ .. ....... ......... (... .. .... .........., .. ...... ........ .. ........, . . ....... ... ..........), ..... ......!

Eestimated reading time: 74 min 1 / 33  Expediente N. º: EXP202411411 RESOLUCIÓN DE PROCEDIMIENT ...

 

Testo riservato. Per iscriversi: all'Osservatorio - al Podcast (30 gg gratuito)

PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes:
ANTECEDENTES
PRIMERO : Con fecha 23 de julio de 2024 se interpuso reclamación ante la Agencia
Española de Protección de Datos por una posible infracción imputable a ARES
CAPITAL, S.A. con NIF A80358955 (en adelante, ARES CAPITAL).
Los hechos que se pusieron en conocimiento de esta autoridad eran:
Quien reclama señala que ARES CAPITAL, empresa para la que trabaja como
conductor de un VTC, le obliga a usar su propio teléfono móvil en el ámbito laboral y a
descargar cuatro aplicaciones que monitorean su ubicación, mensajes, llamadas y
más parámetros de actividad, las 24 horas de forma continua y exhaustiva. Además,
señala que no ha sido suficientemente informado sobre el alcance de los datos
personales recopilados en su teléfono móvil personal. Menciona que esta situación
afecta también al resto de conductores.
Junto al escrito, se aportó:
- Captura de pantalla de fecha 30 de abril de 2024, donde figuran cuatro links:
(…)
- Capturas de pantalla de las siguientes aplicaciones en ***APLICACIÓN.1 :
“ ***APLICACIÓN.2”, “***APLICACIÓN.3”, “***APLICACIÓN.4” , así como captura de
la pantalla de la descarga de la aplicación “***APLICACIÓN.5” .
En el expediente se incluyen como evidencias las siguientes capturas de pantalla:
- Captura de pantalla de fecha 6 de agosto de 2024 información proporcionada por el
desarrollador de ***APLICACIÓN.3 en la app store Google Play.
- Captura de pantalla de fecha 6 de agosto de 2024 información proporcionada por el
desarrollador de ***APLICACIÓN.4 en la app store Google Play.

- Captura de pantalla de fecha 6 de agosto de 2024 información proporcionada por el
desarrollador de ***APLICACIÓN.5 en la app store Google Play.
- Captura de pantalla de fecha 6 de agosto de 2024 información proporcionada por el
desarrollador de ***APLICACIÓN.6 en la app store Google Play.
- Captura de pantalla de fecha 6 de agosto de 2024 de la Política de Privacidad de
***APLICACIÓN.3 de la web ***URL.1.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

2 / 33
- Captura de pantalla de fecha 6 de agosto de 2024 de la Política de Privacidad de
***EMPRESA.1 de la web ***URL.2.
SEGUNDO : De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante, LOPDGDD), se dio traslado de dicha reclamación a ARES CAPITAL, para
que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las
acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de
protección de datos.
La notificación del traslado de la reclamación, que se practicó conforme a las normas
establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en adelante, LPACAP), fue realizada en
fecha 14 de agosto de 2024 como consta en el acuse de recibo que obra en el
expediente.
TERCERO : Con fecha 13 de septiembre de 2024 se recibe en esta Agencia escrito de
respuesta indicando lo siguiente:
"(…)
1. Finalidad del Tratamiento de Datos Personales
De acuerdo con la cláusula 9.3 de las cláusulas adicionales al Contrato de
Trabajo, los datos personales de los empleados se recaban y tratan para los
siguientes fines:
a) Gestionar la relación laboral y la prestación de servicios a través de las
plataformas necesarias para el desempeño de funciones como
conductor VTC.
b) Mantener y desarrollar el contrato laboral, incluyendo controles de
absentismo, evaluaciones de rendimiento, gestión del personal,
cambios de turno, campañas de motivación y control horario.
c) Garantizar la seguridad del patrimonio de la compañía, incluyendo los
vehículos.
d) Asegurar la seguridad de las flotas de vehículos y pasajeros.
e) Elaborar patrones de conducta para asegurar la seguridad de los
pasajeros y tomar decisiones sobre el rendimiento de los empleados.


1. Periodo de Conservación de Datos
Conforme se establece en la cláusula 9.5. de las cláusulas adicionales al
Contrato de Trabajo, los datos personales de nuestros empleados se
conservarán mientras dure la relación laboral y, una vez finalizada, se
mantendrán debidamente bloqueados durante un máximo de cinco años a
efectos de cumplir con las obligaciones legales o contractuales que sean de
aplicación.
2. Destinatarios de los Datos
La cláusula 9.6 de las cláusulas adicionales al Contrato de Trabajo, establece
los terceros destinatarios de los datos que, por obligación legal y otros
intereses legítimos de la empresa, tendrán acceso a los datos de los
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

3 / 33
trabajadores incluyendo entidades como bancos, organismos de Seguridad
Social y Tributaria, la Dirección General de Tráfico, Fuerzas de Seguridad, y
otras empresas encargadas de servicios como confección de nóminas,
seguros, contabilidad y apoyo jurídico e informático.
3. Derechos de los Trabajadores
La cláusula 9.7 de las cláusulas adicionales al Contrato de Trabajo, informa a
los trabajadores sobre sus derechos de acceso, rectificación, supresión,
limitación del tratamiento, oposición y portabilidad de sus datos personales, los
cuales pueden ejercitar, conforme a la normativa aplicable, dirigiéndose al
departamento de Recursos Humanos o a la dirección de correo electrónico
***EMAIL.1.
4. Control de la Actividad Laboral y Medidas Disciplinarias
De acuerdo con la cláusula 8 de las cláusulas adicionales del Contrato de
Trabajo, se informa de:
a) Videovigilancia y Sistemas Tecnológicos
La Compañía, para el desarrollo efectivo de su actividad y la protección de sus
bienes, equipos y sistemas informáticos, emplea diversas formas de
videovigilancia y vigilancia tecnológica, tanto directamente como a través de
terceros. Este monitoreo incluye el acceso y vigilancia de ordenadores,
dispositivos de comunicación, redes, impresoras, servicios de email y conexión
a Internet, así como sistemas informáticos, bases de datos, copias de
seguridad, memorias USB, VPN, teléfonos móviles y otros dispositivos
similares. Esta vigilancia se realiza únicamente con el fin de garantizar la
seguridad de la Empresa y el cumplimiento de las obligaciones laborales por
parte de los empleados.
a) Monitoreo de la Prestación de Servicios
Se incluyen sistemas que supervisan la prestación de servicios de transporte y
los estilos y hábitos de conducción de los empleados. Esta supervisión permite
un uso óptimo y racional de los vehículos, y los empleados están obligados a
utilizar los medios de conducción proporcionados de manera diligente.
b) Sistemas de Localización
Los empleados han sido informados sobre la existencia de dos sistemas de
localización:
 Aplicación de ***EMPRESA.2 : Utiliza el terminal telefónico para
proporcionar información sobre la ubicación del empleado solo cuando
está conectado a la plataforma.
 Geolocalizador del Vehículo: Instalado en el vehículo de la Compañía,
proporciona la ubicación del mismo de forma permanente. Los datos de
localización proporcionados por estos sistemas no permiten a la Empresa
acceder a otras aplicaciones en el terminal del empleado.
d) Dispositivos Móviles y Geolocalización
Los dispositivos móviles proporcionados por la Compañía están equipados con
un sistema de geolocalización necesario para integrar el sistema de la
Empresa con servicios de terceros, como ***SISTEMA.1 que, posteriormente,
explicaremos. Estos dispositivos incluyen un MDM (Mobile Device
Management) que impide la desconexión del sistema de la Empresa. Es
importante destacar que en caso de que el dispositivo móvil sea apagado por
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

4 / 33
el empleado, cesará la transmisión de su ubicación. Los empleados han
recibido la información necesaria para desconectarse de las aplicaciones el
dispositivo móvil fuera de su jornada laboral, preservando así su privacidad. La
información recopilada incluye solo datos de localización y velocidad. Los
empleados aceptan que estos datos puedan ser utilizados para verificar el
desempeño laboral y aplicar sanciones si fuera necesario. También se les
informa sobre sus derechos de acceso, rectificación, supresión y limitación del
tratamiento de sus datos.
1. Políticas Relacionadas con el Uso de Teléfonos Móviles
a) Elección del Teléfono Móvil
De acuerdo con la cláusula 11 de las cláusulas adicionales del contrato, los
empleados tienen la opción de:
• Solicitar un teléfono móvil corporativo proporcionado por la Compañía para el
desempeño de sus funciones.
• Utilizar su teléfono móvil personal para las funciones laborales. En este caso,
la Compañía abonará una cantidad mensual en concepto de "uso móvil
personal" para cubrir los gastos derivados. Se ha de precisar que son
numerosos los empleados que deciden utilizar su propio teléfono móvil a
efectos prácticos, por la comodidad que supone no tener que portar dos
teléfonos móviles.
Los empleados también tienen la posibilidad de cambiar su elección en
cualquier momento durante la relación laboral, notificando a su gestor con un
mes de antelación.

SEGUNDA.- La Decisión adoptada a propósito de esta reclamación.
La decisión adoptada por parte de la empresa se describe con más detalle en
el punto CUARTO. - Informe sobre las medidas adoptadas para evitar que se
produzcan incidencias similares, fechas de implantación y controles efectuados
para comprobar su eficacia:
 Medidas Adoptadas:
• Revisión y actualización de la política de desconexión digital y procedimientos
relacionados.
• Refuerzo de la formación y sensibilización de los empleados y responsables
sobre el uso adecuado de los dispositivos y aplicaciones.
• Implementación de un canal de comunicación directa para resolver dudas y
reclamaciones de los empleados en relación con el uso de tecnologías.
• Agilizar la provisión de Dispositivos Móviles de Empresa a aquellos
trabajadores que actualmente utilizan sus dispositivos personales para fines
laborales y soliciten dicho cambio.
 Fechas de Implantación:
• La actualización de la política y los procedimientos se completarán durante el
mes de septiembre y octubre de 2024.
• La formación y sensibilización se realizará, dado el volumen de trabajadores en
plantilla, durante los meses restantes de 2024 y continuará periódicamente con
los planes de formación Refresher (para trabajadores ya existentes en la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

5 / 33
compañía y que hayan recibido la formación inicial en materia de Privacidad y
Protección de Datos).
• La provisión de dispositivos móviles se estima que se completará
progresivamente a medida que se puedan disponer de los recursos necesarios.
 Controles Efectuados para Comprobar la Eficacia:
Se han establecido revisiones periódicas para evaluar la eficacia de las
medidas adoptadas y ajustar las políticas según sea necesario.

TERCERA.- Informe sobre las causas que han motivado la incidencia que ha
originado la reclamación.

La incidencia se ha originado debido al desconocimiento por parte del
trabajador/reclamante sobre el alcance y la finalidad del uso de las
aplicaciones y dispositivos móviles personales. La Compañía ha establecido
medidas para informar de manera más detallada a los empleados sobre el uso
de estas herramientas y sus derechos:
1. Política de Desconexión Digital: Garantiza la protección de la privacidad y
establece mecanismos para resolver cualquier inquietud que los trabajadores
puedan tener sobre el uso de tecnologías.

1. Manual del Conductor:

De acuerdo con el Capítulo II: Servicios Internos, se informa de:

1. Plataforma de Servicios y ***APLICACIÓN.5:

• La aplicación ***APLICACIÓN.5 es una herramienta indispensable para la
gestión operativa de la Compañía. El trabajador debe prestar especial atención
a las comunicaciones recibidas a través de esta aplicación, ya que es el
principal canal de comunicación entre la Compañía y los empleados.

• La plataforma de prestación de servicios ***SISTEMA.1 también es esencial
para la correcta realización de las funciones del trabajador. Su instalación es
obligatoria, ya que permite la integración del sistema de la empresa con el
servicio de terceros ( ***EMPRESA.2 ). Como se ha informado previamente al
trabajador en la cláusula adicional 8. Control de la Actividad Laboral y Medidas
Disciplinarias, esta plataforma requiere la geolocalización del conductor y del
vehículo, pero en ningún caso accede a información personal del trabajador en
caso de que se esté usando su terminal móvil para el desempeño de sus
funciones, simplemente integra el sistema del conductor en el entorno
***EMPRESA.2 para atender la petición de los terceros clientes que precisan
del servicio de transporte privado.

2. Sobre el Vehículo y Otros Efectos de la Empresa:

• Como se informa en la cláusula 8 de las cláusulas adicionales del Contrato de
Trabajo. Dispositivos móviles y Geolocalización, los dispositivos móviles
proporcionados por la empresa incluyen un sistema de geolocalización que
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

6 / 33
permite a la empresa monitorizar la ubicación del dispositivo mientras esté
operativo. Este sistema es necesario para la conexión con servicios de terceros
(como ***EMPRESA.2 ) y para el funcionamiento de los vehículos, que también
están equipados con un geolocalizador GPS. El dispositivo móvil cuenta con un
sistema MDM (Mobile Device Management) que asegura que no se pueda
desconectar el sistema de la empresa de las aplicaciones de terceros. Se ha
informado al trabajador que, en caso de que el dispositivo móvil sea apagado,
dejará de transmitir su ubicación. El trabajador puede desconectarse de las
aplicaciones del dispositivo fuera de su jornada laboral para preservar su
privacidad, y se le ha proporcionado la información necesaria para hacerlo,
estando estrictamente prohibida la manipulación del dispositivo geolocalizador
del vehículo.

2. Terminal Telefónico:

• En caso de que la empresa facilite un terminal telefónico, este deberá ser
utilizado exclusivamente para fines laborales por parte del trabajador.

• No se podrá modificar ninguna característica del terminal, sus aplicaciones ni
su configuración en la red sin la autorización expresa y por escrito de la
empresa.

• El teléfono de empresa no debe utilizarse para asuntos personales durante la
jornada laboral, salvo en casos de urgencia.

• A solicitud de la empresa, y cuando sea necesario para garantizar la seguridad
o el cumplimiento de las obligaciones laborales, el trabajador deberá
proporcionar la información del teléfono o devolver el terminal y todos los
elementos adicionales (cargador, fundas, tarjetas SIM, etc.) de inmediato.

De acuerdo con el Capítulo II: Servicios Internos, se informa de:

1. Control Horario, Jornada Laboral, Descansos y Permisos:

• Se establecen parámetros sobre el control horario y el registro de la jornada
laboral, definiendo el trabajo efectivo, las pausas y los descansos. La jornada
laboral comienza cuando el trabajador recoge el vehículo en la base y se
conecta a la plataforma, y finaliza cuando entrega el vehículo en la misma
base.

• Se requiere un mínimo de 8 horas de trabajo efectivo y un descanso mínimo de
1 hora.
Durante las pausas y descansos, el trabajador debe desconectarse de la
plataforma. La falta de desconexión no implicará que el tiempo se considere
efectivo para el cálculo salarial.

• La desconexión de la plataforma durante los descansos y pausas garantiza la
no monitorización por parte de la empresa, respetando así los derechos a la
intimidad y privacidad del trabajador, conforme a la normativa aplicable en
materia de Protección de Datos y derechos constitucionales.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

7 / 33

2. Comunicación de Incidencias, Licencias y Permisos:

• Las solicitudes de licencia o permiso deben realizarse por escrito, con al
menos 24 horas de antelación, a través de la aplicación ***APLICACIÓN.5 . La
aplicación ***APLICACIÓN.5 es de instalación obligatoria en todos los
terminales (ya sean proporcionados por la empresa o el personal, según se
estableció en la cláusula 11 de las cláusulas adicionales al contrato), lo que
justifica aún más el deber de instalación de la app con fines operativos.

• Para acceder a los protocolos de la empresa (como el Plan de Igualdad y
PRL), el trabajador deberá utilizar la aplicación ***APLICACIÓN.5 .

• Como conductor, el trabajador tendrá acceso a los datos e identidad de los
pasajeros que contraten los servicios de la empresa a través de la plataforma
***SISTEMA.1 . El trabajador está obligado a mantener la confidencialidad de la
información y datos personales de clientes, proveedores y empleados,
utilizándolos exclusivamente para el desempeño de sus funciones y no
pudiendo revelarlos, reproducirlos ni alterarlos durante y después de la relación
laboral.
3. Aplicaciones Relacionadas con el Desempeño de Funciones Laborales
De acuerdo con el requerimiento y en base a las alegaciones del reclamante,
se informa de:
• ***APLICACIÓN.7 : La aplicación ***APLICACIÓN.7 es una herramienta
indispensable para que los trabajadores puedan desempeñar correctamente
sus funciones, tal y como se detalla a continuación. El tratamiento de los datos
personales a través de esta aplicación está legitimado en la ejecución del
contrato laboral, con el objetivo de facilitar el contacto con el cliente final que
contrata el servicio de transporte privado.

La funcionalidad principal de esta aplicación es la integración del
***SOFTWARE.1 (software basado en tecnología de Voz sobre IP (VoIP), que
permite realizar y recibir llamadas a través de una aplicación, sin utilizar una
tarifa de telefonía móvil, con la plataforma de servicio de terceros, en este
caso, ***SISTEMA.1 . Esta integración está dirigida a aquellos trabajadores que
se conectan en remoto, debido a las características del puesto de trabajo de
los empleados (conductores). Dado que se puede utilizar el móvil personal del
trabajador durante la jornada laboral, la empresa pretende que las llamadas se
realicen sin necesidad de utilizar la tarifa móvil. Sin embargo, conforme a la
cláusula 11 de las condiciones adicionales del Contrato sobre teléfonos
móviles, cuando el trabajador opta por usar su teléfono personal para el
desempeño de sus funciones, la empresa abona una cantidad mensual en
concepto de “uso móvil personal” para cubrir los gastos derivados. Cabe
destacar que la integración ***SOFTWARE.1 con la plataforma de servicio de
terceros permite realizar y recibir llamadas sin coste adicional. Además, esta
aplicación no accede a la agenda ni a los números de contacto personales del
trabajador en su móvil, ya que se integra exclusivamente en el entorno limitado
de la plataforma de servicio de terceros ( ***SISTEMA.1 ), cuyos datos
personales se refieren únicamente a los clientes finales.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

8 / 33

• ***APLICACIÓN.4 : La aplicación ***APLICACIÓN.4 es fundamental para el
desempeño de las funciones laborales de los trabajadores, como se describe a
continuación. El tratamiento de los datos personales a través de esta aplicación
está legitimado en la ejecución del Contrato laboral, con el objetivo de facilitar
el acceso al vehículo.

***APLICACIÓN.4 proporciona a las compañías de flotas de vehículos
compartidos un sistema de acceso y cierre seguro sin llave. Esta tecnología se
presenta como una llave digital que sustituye a las llaves físicas de los
vehículos. De este modo, los conductores de flotas compartidas pueden abrir y
cerrar los vehículos cómodamente desde su móvil, sin necesidad de una llave
física, siendo la conexión entre el dispositivo móvil del conductor y el
dispositivo ***APLICACIÓN.4 mediante Bluethoot, no existiendo por tanto
ninguna posibilidad de conexión cuando el conductor está fuera del radio de
alcance de 3-5 metros de dicho sistema de interconexión. Esta solución
permite a la empresa gestionar la flota de vehículos con mayor accesibilidad y
menor inmovilización, especialmente en casos de reparación o sustitución de
vehículos. Además, facilita que cualquier trabajador pueda acceder a cualquier
vehículo de la flota sin necesidad de entregar o recoger llaves físicas en un
punto específico, agilizando así la actividad operativa.

Es importante señalar que esta aplicación únicamente accede a los sistemas
de conexión de los vehículos en cuestión (control de bloqueo por
***SISTEMA.2 conectado a la tecnología ***APLICACIÓN.4 ) y no tiene acceso
a los datos personales del trabajador almacenados en su móvil personal. La
funcionalidad exclusiva de ***APLICACIÓN.4 es la de abrir y cerrar el vehículo.
Los sistemas de geolocalización necesarios para el desempeño de las
funciones de la aplicación dejan de funcionar cuando el trabajador cierra la
aplicación al finalizar su jornada laboral.

CUARTA.- Informe sobre las medidas adoptadas para evitar que se produzcan
incidencias similares, fechas de implantación y controles efectuados para
comprobar su eficacia.
A continuación, queremos informarles sobre las medidas que la empresa ha
decidido adoptar para abordar las preocupaciones planteadas y garantizar el
cumplimiento riguroso de la normativa de protección de datos y desconexión
digital. No obstante, queremos señalar que la solicitud de este requerimiento
de información por la .... .. .. .... . .. .............. .. .. .........
aplicable en materia de Privacidad y Protección de Datos, sino al
desconocimiento por parte del trabajador/reclamante sobre el alcance y la
finalidad del uso de las aplicaciones y dispositivos móviles personales.

• Formación y Sensibilización: La empresa ha decidido intensificar los esfuerzos
en la formación y sensibilización de nuestros empleados en materia de
protección de datos y desconexión digital. Esto incluirá:
• Capacitación: Se reforzará la formación tanto a los nuevos empleados como a
los ya existentes, con el objetivo de asegurar que todos comprendan
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

9 / 33
plenamente sus derechos y obligaciones en relación con el uso de dispositivos
y aplicaciones. Esta formación abordará específicamente materia de
Protección de Datos, el acceso a información durante el desempeño de sus
funciones y el derecho a la Desconexión Digital.
• Información Detallada: Se incidirá en que todos los empleados reciban y
comprendan una explicación detallada sobre el uso adecuado de los
dispositivos proporcionados por la empresa y de las aplicaciones necesarias
para el desempeño de sus funciones. Se destacará que, en el caso de utilizar
dispositivos personales para funciones laborales, la empresa no accede a
información personal almacenada en dichos dispositivos.
 Revisión y Actualización de Procedimientos: La empresa llevará a cabo las
siguientes acciones:
• Revisión de Procedimientos Internos: Se revisarán y actualizarán los
procedimientos internos para asegurar que el acceso a información personal
sea conforme a la normativa aplicable y se mantenga la transparencia con los
empleados sobre el uso de sus dispositivos personales. Esto incluirá una
revisión de los sistemas de geolocalización y la integración de aplicaciones
para garantizar que se respete la privacidad y se limite el acceso a la
información personal.
• Transparencia y Comunicación: Se reforzará la comunicación con los
empleados para que tengan un entendimiento claro de las políticas de la
empresa en cuanto al acceso y uso de datos personales. Se asegurará que
todos los empleados estén informados de los límites del acceso a su
información personal y de las medidas de protección que se han implementado
para salvaguardar su privacidad.
 Provisión de Dispositivos Móviles de Empresa: La empresa se compromete a
proporcionar, en la medida de nuestras posibilidades y conforme a las
limitaciones presupuestarias y de plantilla, dispositivos móviles corporativos a
todos los trabajadores que elijan, conforme a la cláusula 11 de las cláusulas
adicionales al Contrato de Trabajo, el uso del dispositivo móvil de la empresa
para el desempeño de su trabajo.
• Provisión de Dispositivos: La empresa comprobará periódicamente mediante
comunicación a los empleados que actualmente utilizan sus dispositivos
personales para fines laborales, para confirmar que siguen interesados en
hacer uso de su teléfono móvil, proporcionando uno de Empresa a la mayor
brevedad a aquellos que decidan cambiar su decisión. Este proceso se llevará
a cabo de acuerdo con la disponibilidad de recursos y el presupuesto asignado.
• Plazo de Implementación: Es importante señalar que, dependiendo de cuál sea
el grado de respuesta y debido a las restricciones financieras y logísticas, la
implementación completa de esta medida no será inmediata. La empresa es
consciente de que el proceso puede extenderse en el tiempo, y se estima que
se completará progresivamente a medida que se puedan disponer de los
recursos necesarios.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

10 / 33
• Alternativa Temporal: Mientras se lleva a cabo la transición, los empleados
podrán seguir utilizando sus dispositivos personales para fines laborales, y la
empresa continuará abonando una compensación mensual en concepto de
“uso móvil personal” para cubrir los gastos asociados a esta situación.

La empresa se compromete a mantener informados a los empleados sobre el
progreso de la implementación de esta medida y a garantizar que, durante el
periodo de transición, se sigan respetando todas las normativas aplicables en
materia de Protección de datos y Privacidad.
Cabe señalar que respetamos plenamente la decisión de los trabajadores que
elijan utilizar su teléfono móvil personal para el desempeño de sus funciones
laborales. En estos casos, no se proporcionará un teléfono de empresa
adicional. Sin embargo, queremos asegurar a todos los trabajadores que,
independientemente de la elección del dispositivo, la Empresa seguirá
cumpliendo estrictamente con todas las normativas de Privacidad y Protección
de datos aplicables. Se seguirán implementando medidas adecuadas para
proteger la información personal y garantizar que la utilización del dispositivo
personal para fines laborales no comprometa la seguridad de los datos.
Con este conjunto de medidas, la empresa busca no solo seguir cumpliendo
con las obligaciones legales, sino también fortalecer la confianza y seguridad
de nuestros empleados en el entorno laboral.

QUINTA.- Cualquier otra que considere relevante.
***EMPRESA.3 tiene implementado y actualizado el registro de las actividades
de tratamiento siendo de conformidad con el art. 30 del RGPD. (…)".
CUARTO : Con fecha 18 de septiembre de 2024, de conformidad con el artículo 65 de
la LOPDGDD, se admitió a trámite la reclamación.
QUINTO : Con fecha 30 de abril de 2025 la Presidencia de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada ,
con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre,
del Procedimiento Administrativo Común de las Administraciones Públicas (en
adelante, LPACAP), por las presuntas infracciones de los artículos 13, 5.1.c) y 6.1 del
RGPD, tipificadas en el artículo 83.5 del RGPD.
SEXTO : Notificado el citado acuerdo de inicio conforme a las normas establecidas en
la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP) y transcurrido el plazo otorgado
para la formulación de alegaciones, se ha constatado que no se ha recibido alegación
alguna por la parte reclamada.
El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada
en el acuerdo de apertura del procedimiento- establece que si no se efectúan
alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando
éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada,
podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de
inicio del expediente sancionador determinaba los hechos en los que se concretaba la
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

11 / 33
imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría
imponerse. Por ello, tomando en consideración que la parte reclamada no ha
formulado alegaciones al acuerdo de inicio del expediente y en atención a lo
establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es
considerado en el presente caso propuesta de resolución.
SÉPTIMO : De acuerdo con el informe recogido de la herramienta AXESOR en fecha 2
de febrero de 2026, la entidad ARES CAPITAL es una empresa constituida en el año
1992, y con un volumen de negocios de 256.229.000 € euros en el año 2024 .
A la vista de todo lo Actuado, por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran los siguientes
HECHOS PROBADOS
PRIMERO : ARES CAPITAL presta servicios de transporte en VTC, requiriendo a sus
trabajadores el uso de diversas aplicaciones informáticas para el desempaño de su
trabajo: " ***APLICACIÓN.5 ", " ***APLICACIÓN.2", "***APLICACIÓN.7" y
"***APLICACIÓN.4 ".
SEGUNDO : Consta que ARES CAPITAL ofrece a sus trabajadores la posibilidad del
uso de un teléfono corporativo, según disponibilidad, o el uso del terminal móvil
personal, tal y como se recoge en su escrito de 13 de septiembre de 2024 (el
subrayado es nuestro):

“De acuerdo con la cláusula 11 de las cláusulas adicionales del contrato, los
empleados tienen la opción de:
- Solicitar un teléfono móvil corporativo proporcionado por la Compañía para el
desempeño de sus funciones.
- Utilizar su teléfono móvil personal para las funciones laborales. En este caso, la
Compañía abonará una cantidad mensual en concepto de "uso móvil personal"
para cubrir los gastos derivados. Se ha de precisar que son numerosos los
empleados que deciden utilizar su propio teléfono móvil a efectos prácticos, por la
comodidad que supone no tener que portar dos teléfonos móviles.
Los empleados también tienen la posibilidad de cambiar su elección en cualquier
momento durante la relación laboral, notificando a su gestor con un mes de
antelación. (…)”
No obstante, más adelante continúa señalando que:
“(…) La empresa se compromete a proporcionar, en la medida de nuestras
posibilidades y conforme a las limitaciones presupuestarias y de plantilla ,
dispositivos móviles corporativos a todos los trabajadores que elijan, conforme a
la cláusula 11 de las cláusulas adicionales al Contrato de Trabajo, el uso del
dispositivo móvil de la empresa para el desempeño de su trabajo.
Provisión de Dispositivos: La empresa comprobará periódicamente mediante
comunicación a los empleados que actualmente utilizan sus dispositivos
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

12 / 33
personales para fines laborales, para confirmar que siguen interesados en hacer
uso de su teléfono móvil, proporcionando uno de Empresa a la mayor brevedad a
aquellos que decidan cambiar su decisión. Este proceso se llevará a cabo de
acuerdo con la disponibilidad de recursos y el presupuesto asignado .”
TERCERO : Consta en el escrito de respuesta de ARES CAPITAL recibido por esta
Agencia en fecha 13 de septiembre de 2024, que la reclamada exige la instalación
obligatoria de las siguientes herramientas en el terminal de que dispongan los
conductores, ya sea el terminal personal que usen con fines laborales o el terminal de
la empresa (el subrayado es nuestro):
“(…) Los empleados han sido informados sobre la existencia de dos sistemas de
localización:
a) Aplicación de ***EMPRESA.2 : Utiliza el terminal telefónico para proporcionar
información sobre la ubicación del empleado solo cuando está conectado a la
plataforma. (…)
 La aplicación ***APLICACIÓN.5 es una herramienta indispensable para la
gestión operativa de la Compañía. El trabajador debe prestar especial atención a
las comunicaciones recibidas a través de esta aplicación, ya que es el principal
canal de comunicación entre la Compañía y los empleados.
 La plataforma de prestación de servicios ***SISTEMA.1 también es
esencial para la correcta realización de las funciones del trabajador. Su instalación
es obligatoria , ya que permite la integración del sistema de la empresa con el
servicio de terceros ( ***EMPRESA.2 ). Como se ha informado previamente al
trabajador en la cláusula adicional 8. Control de la Actividad Laboral y Medidas
Disciplinarias, esta plataforma requiere la geolocalización del conductor y del
vehículo, pero en ningún caso accede a información personal del trabajador en
caso de que se esté usando su terminal móvil para el desempeño de sus
funciones, simplemente integra el sistema del conductor en el entorno
***EMPRESA.2 para atender la petición de los terceros clientes que precisan del
servicio de transporte privado.
2. Sobre el Vehículo y Otros Efectos de la Empresa:
 Como se informa en la cláusula 8 de las cláusulas adicionales del Contrato
de Trabajo. Dispositivos móviles y Geolocalización, los dispositivos móviles
proporcionados por la empresa incluyen un sistema de geolocalización que
permite a la empresa monitorizar la ubicación del dispositivo mientras esté
operativo. Este sistema es necesario para la conexión con servicios de terceros
(como ***EMPRESA.2 ) y para el funcionamiento de los vehículos, que también
están equipados con un geolocalizador GPS. El dispositivo móvil cuenta con un
sistema MDM (Mobile Device Management) que asegura que no se pueda
desconectar el sistema de la empresa de las aplicaciones de terceros. Se ha
informado al trabajador que, en caso de que el dispositivo móvil sea apagado,
dejará de transmitir su ubicación . El trabajador puede desconectarse de las
aplicaciones del dispositivo fuera de su jornada laboral para preservar su
privacidad, y se le ha proporcionado la información necesaria para hacerlo,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

13 / 33
estando estrictamente prohibida la manipulación del dispositivo geolocalizador del
vehículo.
Las solicitudes de licencia o permiso deben realizarse por escrito, con al menos
24 horas de antelación, a través de la aplicación ***APLICACIÓN.5 . La aplicación
***APLICACIÓN.5 es de instalación obligatoria en todos los terminales (ya sean
proporcionados por la empresa o el personal, según se estableció en la cláusula
11 de las cláusulas adicionales al contrato) , lo que justifica aún más el deber de
instalación de la app con fines operativos.
De acuerdo con el requerimiento y en base a las alegaciones del reclamante, se
informa de:
 ***APLICACIÓN.7 : La aplicación ***APLICACIÓN.7 es una herramienta
indispensable para que los trabajadores puedan desempeñar correctamente sus
funciones, tal y como se detalla a continuación. El tratamiento de los datos
personales a través de esta aplicación está legitimado en la ejecución del contrato
laboral, con el objetivo de facilitar el contacto con el cliente final que contrata el
servicio de transporte privado. La funcionalidad principal de esta aplicación es la
integración del ***SOFTWARE.1 (software basado en tecnología de Voz sobre IP
(VoIP), que permite realizar y recibir llamadas a través de una aplicación, sin
utilizar una tarifa de telefonía móvil , con la plataforma de servicio de terceros, en
este caso, ***SISTEMA.1 . Esta integración está dirigida a aquellos trabajadores
que se conectan en remoto, debido a las características del puesto de trabajo de
los empleados (conductores). Dado que se puede utilizar el móvil personal del
trabajador durante la jornada laboral, la empresa pretende que las llamadas se
realicen sin necesidad de utilizar la tarifa móvil. Sin embargo, conforme a la
cláusula 11 de las condiciones adicionales del Contrato sobre teléfonos móviles,
cuando el trabajador opta por usar su teléfono personal para el desempeño de
sus funciones, la empresa abona una cantidad mensual en concepto de “uso
móvil personal” para cubrir los gastos derivados. Cabe destacar que la integración
***SOFTWARE.1 con la plataforma de servicio de terceros permite realizar y
recibir llamadas sin coste adicional. Además, esta aplicación no accede a la
agenda ni a los números de contacto personales del trabajador en su móvil, ya
que se integra exclusivamente en el entorno limitado de la plataforma de servicio
de terceros ( ***SISTEMA.1 ), cuyos datos personales se refieren únicamente a los
clientes finales.
 ***APLICACIÓN.4 : La aplicación ***APLICACIÓN.4 es fundamental para
el desempeño de las funciones laborales de los trabajadores, como se describe a
continuación. El tratamiento de los datos personales a través de esta aplicación
está legitimado en la ejecución del Contrato laboral, con el objetivo de facilitar el
acceso al vehículo. ***APLICACIÓN.4 proporciona a las compañías de flotas de
vehículos compartidos un sistema de acceso y cierre seguro sin llave . Esta
tecnología se presenta como una llave digital que sustituye a las llaves físicas de
los vehículos. De este modo, los conductores de flotas compartidas pueden abrir y
cerrar los vehículos cómodamente desde su móvil, sin necesidad de una llave
física, siendo la conexión entre el dispositivo móvil del conductor y el dispositivo
***APLICACIÓN.4 mediante Bluethoot, no existiendo por tanto ninguna
posibilidad de conexión cuando el conductor está fuera del radio de alcance de 3-
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

14 / 33
5 metros de dicho sistema de interconexión . Esta solución permite a la empresa
gestionar la flota de vehículos con mayor accesibilidad y menor inmovilización,
especialmente en casos de reparación o sustitución de vehículos. Además, facilita
que cualquier trabajador pueda acceder a cualquier vehículo de la flota sin
necesidad de entregar o recoger llaves físicas en un punto específico, agilizando
así la actividad operativa. Es importante señalar que esta aplicación únicamente
accede a los sistemas de conexión de los vehículos en cuestión (control de
bloqueo por ***SISTEMA.2 conectado a la tecnología ***APLICACIÓN.4 ) y no
tiene acceso a los datos personales del trabajador almacenados en su móvil
personal. La funcionalidad exclusiva de ***APLICACIÓN.4 es la de abrir y cerrar
el vehículo. Los sistemas de geolocalización necesarios para el desempeño de las
funciones de la aplicación dejan de funcionar cuando el trabajador cierra la
aplicación al finalizar su jornada laboral.”
CUARTO : ARES CAPITAL recopila datos personales, en algunos casos, de terminales
móviles de sus trabajadores por parte de aplicaciones móviles que obliga a descargar.
Así, consta en capturas de pantalla de fecha 6 de agosto de 2024 incluidas en este
expediente, que las aplicaciones obligadas a ser instaladas en los dispositivos móviles
personales de los empleados recopilan datos personales como geolocalización
continua, fotos y videos o información sobre el estado físico de dichos trabajadores, en
concreto:
- ***APLICACIÓN.2 incluye los permisos para recopilar los siguientes datos:
ubicación, salud y fitness: información de estado físico, información personal
(nombre, dirección de correo electrónico, ID de usuario, Número de teléfono y
Otra información), contactos, información financiera, audio: grabaciones de voz
o sonido, fotos y video, entre otros.
- ***APLICACIÓN.4 incluye los permisos para recopilar los siguientes datos:
ubicación aproximada y precisa, fotos y videos, información personal (nombre,
dirección de correo electrónico, IDs de usuario), entre otros.
QUINTO : Consta en el escrito de respuesta de ARES CAPITAL recibido por esta
Agencia en fecha 13 de septiembre de 2024, que dichas aplicaciones y sus permisos
no pueden ser modificados (el subrayado es nuestro):
“(…) Terminal Telefónico:

• En caso de que la empresa facilite un terminal telefónico, este deberá ser
utilizado exclusivamente para fines laborales por parte del trabajador.

• No se podrá modificar ninguna característica del terminal, sus aplicaciones ni
su configuración en la red sin la autorización expresa y por escrito de la
empresa .”
FUNDAMENTOS DE DERECHO
I
Competencia
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

15 / 33
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
resolver este procedimiento la Presidencia de la Agencia Española de Protección de
Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Cuestiones previas
El artículo 4.1) del RGPD define «dato personal» como:
“toda información sobre una persona física identificada o identificable («el
interesado»); se considerará persona física identificable toda persona cuya identidad
pueda determinarse, directa o indirectamente, en particular mediante un identificador,
como por ejemplo un nombre, un número de identificación, datos de localización, un
identificador en línea o uno o varios elementos propios de la identidad física,
fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
El artículo 4.2) del RGPD define «tratamiento» como:
“cualquier operación o conjunto de operaciones realizadas sobre datos personales o
conjuntos de datos personales, ya sea por procedimientos automatizados o no, como
la recogida, registro, organización, estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación,
supresión o destrucción.”
Por su parte, el artículo 4.7) del RGPD define al «responsable del tratamiento» o
«responsable» como:
“la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o
junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión
o de los Estados miembros determina los fines y medios del tratamiento, el
responsable del tratamiento o los criterios específicos para su nombramiento podrá
establecerlos el Derecho de la Unión o de los Estados miembros”.
Asimismo, el artículo 4.8 del RGPD define a la figura del «encargado del tratamiento»
como:
“la persona física o jurídica, autoridad pública, servicio u otro organismo que trate
datos personales por cuenta del responsable del tratamiento;”
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

16 / 33
En el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD,
consta la realización de un tratamiento de datos personales, toda vez que ARES
CAPITAL realiza, entre otros tratamientos, la recogida y conservación de datos
personales de personas físicas, como: nombre y apellidos, teléfono, y dirección de
correo electrónico, geolocalización, fotos y videos, información sobre el estado físico
de los trabajadores.
ARES CAPITAL realiza esta actividad en su condición de responsable del tratamiento,
dado que es quien determina los fines y medios de tal actividad, en virtud del artículo
4.7 del RGPD.
III
Obligación incumplida. Minimización de datos
La letra c) del artículo 5.1 del RGPD propugna:
"1. Los datos personales serán:
(…)
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los
que son tratados («minimización de datos»);"
En el presente caso, la reclamación se interpone contra ARES CAPITAL por requerir a
los conductores de VTC que trabajan para la misma a que usen sus terminales
móviles para fines laborales cuando no se le puedan proporcionar terminales de la
empresa para desempeñar sus labores profesionales, así como que instalen en su
teléfono personal cuando sea el mismo que utilicen para fines laborales, cuatro
aplicaciones que monitorean su ubicación, mensajes, llamadas y más parámetros de
actividad, en concreto, las siguientes aplicaciones: “ ***APLICACIÓN.2”,
“***APLICACIÓN.3”, “***APLICACIÓN.4” y “***APLICACIÓN.5” . Dichas
aplicaciones también estarían instaladas en los móviles corporativos que,
eventualmente y según disponibilidad como afirma ARES CAPITAL, ponga a
disposición de sus empleados.
ARES CAPITAL ha confirmado la posibilidad del uso del terminal móvil personal por
parte de sus empleados para fines laborales en su escrito de 13 de septiembre de
2024:

“De acuerdo con la cláusula 11 de las cláusulas adicionales del contrato, los
empleados tienen la opción de:
 Solicitar un teléfono móvil corporativo proporcionado por la Compañía para el
desempeño de sus funciones.
 Utilizar su teléfono móvil personal para las funciones laborales. En este caso, la
Compañía abonará una cantidad mensual en concepto de "uso móvil personal"
para cubrir los gastos derivados. Se ha de precisar que son numerosos los
empleados que deciden utilizar su propio teléfono móvil a efectos prácticos, por la
comodidad que supone no tener que portar dos teléfonos móviles.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

17 / 33
Los empleados también tienen la posibilidad de cambiar su elección en cualquier
momento durante la relación laboral, notificando a su gestor con un mes de
antelación. (…)”
Por otra parte, ARES CAPITAL reconoce que insta a sus trabajadores a descargar
aplicaciones en dichos terminales personales -los corporativos que eventualmente se
proporcionen ya tendrían estas aplicaciones instaladas- como se evidencia en la
respuesta a esta Agencia, como consta en el tercer hecho probado de esta
Resolución.
El uso de dispositivos personales para fines laborales conlleva que cualquier
aplicación que recopile datos para dichos fines deba limitarse a los datos estrictamente
necesarios para la ejecución de las labores encomendadas en el contrato laboral. No
obstante, según capturas de pantalla de fecha 6 de agosto de 2024 que constan en el
expediente, se pone de relevancia los siguientes aspectos de las aplicaciones
obligadas a ser instaladas en los dispositivos móviles personales de los empleados:
 ***APLICACIÓN.2 incluye los permisos para recopilar los siguientes datos:
ubicación, salud y fitness: información de estado físico, información personal
(nombre, dirección de correo electrónico, ID de usuario, Número de teléfono y
Otra información), contactos, información financiera, audio: grabaciones de
voz o sonido, fotos y video, entre otros.
 ***APLICACIÓN.4 incluye los permisos para recopilar los siguientes datos:
ubicación aproximada y precisa, fotos y videos, información personal (nombre,
dirección de correo electrónico, IDs de usuario), entre otros.
Este hecho pone de manifiesto que ARES CAPITAL , como responsable del
tratamiento de los datos, requiere a sus trabajadores que instalen en sus dispositivos
móviles personales en el caso en que hayan optado por su uso o la empresa no les
haya proporcionado un teléfono corporativo, aplicaciones para el desempeño de sus
labores. En este sentido, la SAN 136/2019 de 6 de febrero de 2019 señala en sus
fundamento sexto lo siguiente: “(…) La medida implantada, si bien obedece a fines
constitucionalmente legítimos en el desarrollo del derecho a la libre empresa como
son el control el empleado en el desempeño de su puesto de trabajo y la oferta de un
mejor servicio al cliente- de forma que éste pueda conocer en todo momento la
ubicación de su pedido, dotando a la empresa de capacidad para proporcionar
servicios que se afirma ya ofrecen otras empresas del sector-, no supera a juicio de la
Sala el necesario juicio de proporcionalidad. La misma finalidad se podría haber
obtenido con medidas que suponen una menor injerencia en los derechos
fundamentales de los empleados como pudieran ser la implantación de sistemas de
geolocalización en las motocicletas en las que se transportan los pedidos o las
pulseras con tales dispositivos que no implican para el empleado la necesidad de
aportar medios propios y lo que es más importante, ni datos de carácter personal
como son el número de teléfono o la dirección de correo electrónico en la que han de
recibir el código de descarga de la aplicación informática que activa el sistema .”
Dichas aplicaciones también son instaladas en el caso en que, en atención a la
disponibilidad aducida por ARES CAPITAL, el trabajador disponga de un terminal
corporativo.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

18 / 33
Así, estas aplicaciones recopilan más datos de los estrictamente necesarios, como
geolocalización continua, fotos y videos o información sobre el estado físico, lo que
constituye una vulneración del principio de min imización de datos, ya que la
recopilación de información excede lo indispensable para los fines legítimos de la
relación laboral.
Por tanto, de conformidad con los hechos probados que se disponen en este momento
de resolución de procedimiento sancionador, se considera que los hechos conocidos
son constitutivos de una infracción, imputable a ARES CAPITAL , por vulneración del
artículo 5.1.c) del RGPD, transcrito anteriormente.
IV
Tipificación de la infracción del artículo 5.1.c) del RGPD y calificación a efectos de
prescripción
El artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración de los
artículos siguientes, que se sancionarán, de acuerdo con el apartado 2, con multas
administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de
una cuantía equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía:
"a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9;"
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
“Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica”.
A los solos efectos del plazo de prescripción, el artículo 72.1 de la LOPDGDD
establece lo siguiente:
"En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías
establecidos en el artículo 5 del Reglamento (UE) 2016/679."
V
Sanción por la infracción del artículo 5.1.c) del RGPD
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD, preceptos que señalan:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

19 / 33
“1. Cada autoridad de control garantizará que la imposición de las multas
administrativas con arreglo al presente artículo por las infracciones del presente
Reglamento indicadas en los apartados 4, 9 y 6 sean en cada caso individual
efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada
caso individual, a título adicional o sustitutivo de las medidas contempladas en el
artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para
paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento,
habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en
particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el
mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso,
como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción”.
Por su parte, el artículo 76 “Sanciones y medidas correctivas” de la LOPDGDD
dispone:
“1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación
establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

20 / 33
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado”.
En el presente caso, considerando la gravedad de la posible infracción, atendiendo
especialmente a las consecuencias que su comisión provoca en los afectados,
corresponde la imposición de multa, además de la adopción de medidas, si procede.
La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada
y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. Para garantizar
estos principios, se considera, con carácter previo, el volumen de negocio de ARES
CAPITAL de 256.229.000 € euros en el año 2024 .
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, de
conformidad con los hechos probados de que se disponen en esta resolución de
procedimiento sancionador, se considera que procede graduar la sanción a imponer de
acuerdo con las circunstancias siguientes, contempladas en los preceptos antes
citados.
Con carácter previo, se estima que concurren las circunstancias siguientes:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de la operación de tratamiento de que se trate, así como el
número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido
(artículo 83.2.a) del RGPD): ARES CAPITAL ha obligado la instalación de cuatro
aplicaciones en los terminales móviles usados por los empleados para el desempeño
de sus labores profesionales que recopilan más datos de los estrictamente necesarios,
con el riesgo que ello conlleva para los derechos e intereses de los empleados. De
acuerdo con el informe recogido de la herramienta AXESOR en fecha 2 de febrero de
2026, ARES CAPITAL cuenta con 5.787 empleados.
- Las categorías de los datos de carácter personal afectados por la infracción (artículo
83.2.g) del RGPD): Las aplicaciones que los empleados están obligados a descargar
cuentan con permisos para acceder a una gran diversidad de datos personales de los
afectados, tales como la información de estado físico, información personal, contactos
y grabaciones de voz o sonido, fotos y videos, entre otros.
Asimismo, se consideran los siguientes factores de graduación en calidad de
agravantes:
- La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales (artículo 76.2.b) de la LOPDGDD): ARES CAPITAL está habituada al
tratamiento continuo de los datos personales y de geolocalización de sus empleados.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2 de
la LOPDGD, con respecto a la infracción cometida al vulnerar lo establecido en el
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

21 / 33
artículo 6.1 del RGPD, permite fijar una sanción de multa administrativa de 100.000,00
euros.
VI
Obligación incumplida. Licitud del tratamiento
El primer apartado del artículo 6 del RGPD establece lo siguiente:
"1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado
es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones. "
En el presente caso, la reclamación se interpone contra ARES CAPITAL por requerir a
los conductores de VTC que trabajan para la misma a que usen sus terminales
móviles para fines laborales en defecto de que se le puedan proporcionar terminales
de la empresa para desempeñar sus labores profesionales, así como que instalen en
su teléfono personal cuatro aplicaciones que monitorean su ubicación, mensajes,
llamadas y más parámetros de actividad, en concreto, las siguientes aplicaciones:
“ ***APLICACIÓN.2”, “***APLICACIÓN.3”, “***APLICACIÓN.4” y
“***APLICACIÓN.5” .
Procede en este supuesto examinar, si la parte reclamada dispone de base de licitud
para tratar los datos personales contenidos en el terminal móvil personal de los
empleados de ARES CAPITAL .
ARES CAPITAL ha señalado lo siguiente en su escrito de 13 de septiembre de 2024
respecto al uso del terminal móvil personal por parte de sus empleados:

“De acuerdo con la cláusula 11 de las cláusulas adicionales del contrato, los
empleados tienen la opción de:
 Solicitar un teléfono móvil corporativo proporcionado por la Compañía para el
desempeño de sus funciones.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

22 / 33
 Utilizar su teléfono móvil personal para las funciones laborales. En este caso, la
Compañía abonará una cantidad mensual en concepto de "uso móvil personal"
para cubrir los gastos derivados. Se ha de precisar que son numerosos los
empleados que deciden utilizar su propio teléfono móvil a efectos prácticos, por la
comodidad que supone no tener que portar dos teléfonos móviles.
Los empleados también tienen la posibilidad de cambiar su elección en cualquier
momento durante la relación laboral, notificando a su gestor con un mes de
antelación. (…)”
No obstante, más adelante continúa señalando que:
“(…) La empresa se compromete a proporcionar, en la medida de nuestras
posibilidades y conforme a las limitaciones presupuestarias y de plantilla,
dispositivos móviles corporativos a todos los trabajadores que elijan, conforme a
la cláusula 11 de las cláusulas adicionales al Contrato de Trabajo, el uso del
dispositivo móvil de la empresa para el desempeño de su trabajo.
Provisión de Dispositivos: La empresa comprobará periódicamente mediante
comunicación a los empleados que actualmente utilizan sus dispositivos
personales para fines laborales, para confirmar que siguen interesados en hacer
uso de su teléfono móvil, proporcionando uno de Empresa a la mayor brevedad a
aquellos que decidan cambiar su decisión. Este proceso se llevará a cabo de
acuerdo con la disponibilidad de recursos y el presupuesto asignado.”
Por tanto, se evidencia que, solo en función de la disponibilidad de recursos, la
empresa reclamada proporcionará terminales móviles a los trabajadores, estando
estos obligados a usar, en su defecto, su propio terminal. El hecho de que el móvil
corporativo no esté disponible desde el primer momento hace que el consentimiento
para acceder a los datos personales del móvil del empleado no sea libre.
Además, respecto a las aplicaciones móviles que ARES CAPITAL insta a sus
trabajadores a descargar en sus terminales, éstas recolectan datos de los empleados
sin su consentimiento, entre otros, la ubicación del empleado en tiempo real, y así se
evidencia en la respuesta a esta Agencia, como consta en el tercer hecho probado de
esta Resolución.
Asimismo, según capturas de pantalla de fecha 6 de agosto de 2024 que constan en el
expediente, se pone de relevancia los siguientes aspectos de las aplicaciones
obligadas a ser instaladas en los dispositivos móviles personales de los empleados:
 ***APLICACIÓN.2 incluye los permisos para recopilar los siguientes datos:
ubicación, información de estado físico, información personal, contactos y
grabaciones de voz o sonido, entre otros.
 ***APLICACIÓN.4 incluye los permisos para recopilar los siguientes datos:
ubicación aproximada y precisa, fotos y videos, información personal, entre
otros.
Este hecho pone de manifiesto que ARES CAPITAL , como responsable del
tratamiento de los datos, permite la recopilación de datos de los terminales móviles de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

23 / 33
sus trabajadores por parte de las aplicaciones móviles que obliga a descargar, sin que
exista una base legitimadora.
Por otra parte, hay que tener en cuenta que el consentimiento de los interesados
válidamente prestado, en este caso, los empleados, a usar sus dispositivos personales
para trabajar no puede ser considerado siempre como una base legitimadora. Así, el
Considerando 43 del RGPD precisa el contenido y alcance de esta base legitimadora
del tratamiento: “ Para garantizar que el consentimiento se haya dado libremente, este
no debe constituir un fundamento jurídico válido para el tratamiento de datos de
carácter personal en un caso concreto en el que exista un desequilibro claro entre el
interesado y el responsable del tratamiento (…)”.
Deben tenerse en cuenta los requisitos que otorgan validez al consentimiento, según
la definición recogida en el artículo 4.11 del RGPD:
“(…) 11. “consentimiento del interesado”: toda manifestación de voluntad libre,
específica, informada e inequívoca por la que el interesado acepta, ya sea mediante
una declaración o una clara acción afirmativa, el tratamiento de datos personales que
le conciernen”.
En relación con la prestación del consentimiento, debe tenerse en cuenta lo
establecido en los artículos 7 del RGPD y 6 de la LOPDGDD:
Artículo 7 “Condiciones para el consentimiento” del RGPD:
“1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable
deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos
personales”.
Artículo 6 “Tratamiento basado en el consentimiento del afectado” de la LOPDGDD:
“1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679,
se entiende por consentimiento del afectado toda manifestación de voluntad libre,
específica, informada e inequívoca por la que este acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del
afectado para una pluralidad de finalidades será preciso que conste de manera
específica e inequívoca que dicho consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el
tratamiento de los datos personales para finalidades que no guarden relación con el
mantenimiento, desarrollo o control de la relación contractual” .
El consentimiento se entiende como un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada e inequívoca del interesado de
aceptar el tratamiento de datos de carácter personal que le conciernan, prestada con
garantías suficientes para acreditar que el interesado es consciente del hecho de que
da su consentimiento y de la medida en que lo hace. Y debe darse para todas las
actividades de tratamiento realizadas con el mismo o mismos fines, de modo que,
cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

24 / 33
ellos de manera específica e inequívoca, sin que pueda supeditarse la ejecución del
contrato a que el afectado consienta el tratamiento de sus datos personales para
finalidades que no guarden relación con el mantenimiento, desarrollo o control de la
relación negocial.
A este respecto, la licitud del tratamiento exige que el interesado sea informado sobre
los fines a que están destinados los datos (consentimiento informado). El
consentimiento ha de prestarse libremente. Se entiende que el consentimiento no es
libre cuando el interesado no goza de verdadera o libre elección o no puede denegar o
retirar su consentimiento sin sufrir perjuicio alguno; o cuando no se le permita autorizar
por separado las distintas operaciones de tratamiento de datos personales pese a ser
adecuado en el caso concreto, o cuando el cumplimiento de un contrato o prestación
de servicio sea dependiente del consentimiento, aun cuando éste no sea necesario
para dicho cumplimiento. Esto ocurre cuando el consentimiento se incluye como una
parte no negociable de las condiciones generales o cuando se impone la obligación de
estar de acuerdo con el uso de datos personales adicionales a los estrictamente
necesarios.
En el ámbito laboral este requisito cobra especial relevancia por la diferente posición
que ocupan el empleador y el empleado, siendo necesario que se acredite que la no
prestación del consentimiento por el trabajador no implicará ninguna consecuencia
negativa para el mismo, de tal forma que quede garantizada su libre prestación.
Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un
verdadero control sobre sus datos personales y el destino de los mismos, y ello haría
ilegal la actividad del tratamiento.
El Comité Europeo de Protección de Datos analizó estas cuestiones en su documento
“Directrices 05/2020 sobre el consentimiento con arreglo al Reglamento 2016/679” , de
04/05/2020 De lo indicado en este documento, interesa destacar algunos aspectos
relacionados con la validez del consentimiento, en concreto sobre los elementos
“específico”, “informado” e “inequívoco”:
“3.2. Manifestación de voluntad específica
El artículo 6, apartado 1, letra a), confirma que el consentimiento del interesado para
el tratamiento de sus datos debe darse «para uno o varios fines específicos» y que un
interesado puede elegir con respecto a cada uno de dichos fines. El requisito de que el
consentimiento deba ser «específico» tiene por objeto garantizar un nivel de control y
transparencia para el interesado. Este requisito no ha sido modificado por el RGPD y
sigue estando estrechamente vinculado con el requisito de consentimiento
«informado». Al mismo tiempo, debe interpretarse en línea con el requisito de
«disociación» para obtener el consentimiento «libre». En suma, para cumplir con el
carácter de «específico» el responsable del tratamiento debe aplicar:
i) la especificación del fin como garantía contra la desviación del uso,
ii) la disociación en las solicitudes de consentimiento, y
iii) una clara separación entre la información relacionada con la obtención del
consentimiento para las actividades de tratamiento de datos y la información relativa a
otras cuestiones.
(…)
“3.3. Manifestación de voluntad informada
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

25 / 33
El RGPD refuerza el requisito de que el consentimiento debe ser informado. De
conformidad con el artículo 5 del RGPD, el requisito de transparencia es uno de los
principios fundamentales, estrechamente relacionado con los principios de lealtad y
licitud. Facilitar información a los interesados antes de obtener su consentimiento es
esencial para que puedan tomar decisiones informadas, comprender qué es lo que
están autorizando y, por ejemplo, ejercer su derecho a retirar su consentimiento. Si el
responsable no proporciona información accesible, el control del usuario será ilusorio y
el consentimiento no constituirá una base válida para el tratamiento de los datos.
Si no se cumplen los requisitos relativos al consentimiento informado, el
consentimiento no será válido y el responsable podrá estar incumpliendo el artículo 6
de RGPD.
3.3.1. Requisitos mínimos de contenido para que el consentimiento sea «informado»
Para que el consentimiento sea informado es necesario comunicar al interesado
ciertos elementos que son cruciales para poder elegir. Por tanto, el GT29 opina que se
requiere, al menos, la información siguiente para obtener el consentimiento válido:
i) la identidad del responsable del tratamiento,
ii) el fin de cada una de las operaciones de tratamiento para las que se solicita el
consentimiento,
iii) qué (tipo de) datos van a recogerse y utilizarse,
iv) la existencia del derecho a retirar el consentimiento,
v) información sobre el uso de los datos para decisiones automatizadas de
conformidad con el artículo 22, apartado 2, letra c), cuando sea pertinente, e
vi) información sobre los posibles riesgos de transferencia de datos debido a la
ausencia de una decisión de adecuación y de garantías adecuadas, tal y como se
describen en el artículo 46”.
Sin estas condiciones mencionadas, la prestación del consentimiento por parte de los
trabajadores no puede considerarse válida, ya que no se trata de una manifestación
libre, específica, informada e inequívoca de su voluntad. En el supuesto denunciado,
se obliga a los trabajadores a descargar las mencionadas aplicaciones en sus móviles
personales por parte de ARES CAPITAL como condición para el desarrollo de sus
funciones, lo que implica que no se está obteniendo un consentimiento libre en los
términos del RGPD, sino una imposición que anula la validez del consentimiento
establecido en el artículo 6 RGPD como base legal del tratamiento.
Por tanto, de conformidad con los hechos probados de que se disponen en este
momento de resolución de procedimiento sancionador, se considera que los hechos
conocidos son constitutivos de una infracción, imputable a ARES CAPITAL, por
vulneración del artículo 6.1 del RGPD, transcrito anteriormente.
VII
Tipificación de la infracción del artículo 6.1 del RGPD y calificación a efectos de
prescripción
El artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración de los
artículos siguientes, que se sancionarán, de acuerdo con el apartado 2, con multas
administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

26 / 33
una cuantía equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía:
"a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9."
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
“Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica”.
A los solos efectos del plazo de prescripción, el artículo 72.1 de la LOPDGDD
establece lo siguiente:
"En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de
licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679."
VIII
Sanción por la infracción del artículo 6.1 del RGPD
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD y del artículo 76 “Sanciones y
medidas correctivas” de la LOPDGDD, transcritos anteriormente.
En el presente caso, considerando la gravedad de la posible infracción, atendiendo
especialmente a las consecuencias que su comisión provoca en los afectados,
corresponde la imposición de multa, además de la adopción de medidas, si procede.
La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada
y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. Para garantizar
estos principios, se considera, con carácter previo, el volumen de negocio de ARES
CAPITAL de 256.229.000 € euros en el año 2024 .
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, de
conformidad con los hechos probados de que se disponen en esta resolución del
procedimiento sancionador, se considera que procede graduar la sanción a imponer de
acuerdo con las circunstancias siguientes, contempladas en los preceptos antes
citados.
Con carácter previo, se estima que concurren las circunstancias siguientes:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de la operación de tratamiento de que se trate, así como el
número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

27 / 33
(artículo 83.2.a) del RGPD): ARES CAPITAL ha obligado la instalación de cuatro
aplicaciones en los terminales personales de los empleados que no disponen de un
dispositivo de la compañía, que recaban datos personales, sin que exista una base
legitimadora, con el riesgo que ello conlleva para los derechos e intereses de los
empleados. De acuerdo con el informe recogido de la herramienta AXESOR en fecha
2 de febrero de 2026, ARES CAPITAL cuenta con 5.787 empleados.

Asimismo, se consideran los siguientes factores de graduación en calidad de
agravantes:
- La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales (artículo 76.2.b) de la LOPDGDD): ARES CAPITAL está habituada al
tratamiento continuo de los datos personales y de geolocalización de sus empleados.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2 de
la LOPDGD, con respecto a la infracción cometida al vulnerar lo establecido en el
artículo 6.1 del RGPD, permite fijar una sanción de multa administrativa de 80.000,00
euros.
IX
Obligación incumplida. Información que deberá facilitarse cuando los datos
personales se obtengan del interesado
El artículo 13 del RGPD establece la información que deberá facilitarse cuando los
datos personales se obtengan del interesado, en virtud del cual:
"1. Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le facilitará
toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su
representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica
del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses
legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su
caso;
f) en su caso, la intención del responsable de transferir datos personales a un tercer
país u organización internacional y la existencia o ausencia de una decisión de
adecuación de la Comisión, o, en el caso de las transferencias indicadas en los
artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las
garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o
al lugar en que se hayan puesto a disposición.
2. Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento de datos
leal y transparente:
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

28 / 33
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los
datos personales relativos al interesado, y su rectificación o supresión, o la limitación
de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad
de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo
9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en
cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el
consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual, o un
requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar
los datos personales y está informado de las posibles consecuencias de no facilitar
tales datos;
f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que
se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información
significativa sobre la lógica aplicada, así como la importancia y las consecuencias
previstas de dicho tratamiento para el interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos
personales para un fin que no sea aquel para el que se recogieron, proporcionará al
interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin
y cualquier información adicional pertinente a tenor del apartado 2.
Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la medida
en que el interesado ya disponga de la información."
El empleador, como responsable del tratamiento de datos, tiene la obligación de
informar a las personas trabajadoras, de manera concisa, transparente, inteligible y de
fácil acceso, utilizando un lenguaje claro y sencillo, sobre los aspectos relacionados
con el tratamiento de datos personales que conlleva el uso de aplicaciones móviles en
los terminales personales. Esto incluye detalles específicos sobre cómo gestionar la
desconexión de dichas aplicaciones, aclarando si es suficiente con cerrar sesión, si las
aplicaciones permanecen activas en segundo plano o si es necesario apagar
completamente el dispositivo.
El deber de información forma parte del contenido esencial del derecho a la protección
de datos y constituye una garantía para el afectado, ya que le permite conocer qué
datos están siendo tratados sobre su persona, con quién los comparte el empleador y,
además, los derechos de los afectados y cómo ejercerlos.
En el presente caso, ha quedado acreditado que ARES CAPITAL actúa como
responsable de tratamiento y no ha informado suficientemente a sus trabajadores
sobre los datos recolectados por las aplicaciones que están obligados a descargar en
el caso de uso de sus dispositivos personales o con las que cuentan los terminales
corporativos que son puestos a su disposición, así como sobre la desconexión de
éstas al finalizar la jornada laboral.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

29 / 33
Por tanto, de conformidad con los hechos probados de que se disponen en este
momento de resolución de procedimiento sancionador, se considera que los hechos
conocidos son constitutivos de una infracción, imputable a ARES CAPITAL , por
vulneración del artículo 13 del RGPD, transcrito anteriormente.
X
Tipificación de la infracción del artículo 13 del RGPD y calificación a efectos de
prescripción
El artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración de los
artículos siguientes, que se sancionarán, de acuerdo con el apartado 2, con multas
administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de
una cuantía equivalente al 4 % como máximo del volumen de negocio total anual
global del ejercicio financiero anterior, optándose por la de mayor cuantía:
" (…) b) los derechos de los interesados a tenor de los artículos 12 a 22;"
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
“Constituyen infracciones los actos y conductas a las que se refieren los apartados 4,
5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten
contrarias a la presente ley orgánica”.
A los solos efectos del plazo de prescripción, el artículo 74 de la LOPDGDD establece
lo siguiente:
"Se consideran leves y prescribirán al año las restantes infracciones de carácter
meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83
del Reglamento (UE) 2016/679 y, en particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho de
información del afectado por no facilitar toda la información exigida por los artículos 13
y 14 del Reglamento (UE) 2016/679."
XI
Sanción por la infracción del artículo 13 del RGPD
A fin de determinar la multa administrativa a imponer se han de observar las
previsiones de los artículos 83.1 y 83.2 del RGPD y del artículo 76 “Sanciones y
medidas correctivas” de la LOPDGDD anteriormente transcritos.
En el presente caso, considerando la gravedad de la posible infracción, atendiendo
especialmente a las consecuencias que su comisión provoca en los afectados,
corresponde la imposición de multa, además de la adopción de medidas, si procede.
La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada
y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. Para garantizar
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

30 / 33
estos principios, se considera, con carácter previo, el volumen de negocio de ARES
CAPITAL fue de 256.229.000 € euros en el año 2024 .
A efectos de decidir sobre la imposición de una multa administrativa y su cuantía, de
conformidad con los hechos probados de que se disponen en esta resolución del
procedimiento sancionador, se considera que procede graduar la sanción a imponer de
acuerdo con las circunstancias siguientes, contempladas en los preceptos antes
citados.
Con carácter previo, se estima que concurren las circunstancias siguientes:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de la operación de tratamiento de que se trate, así como el
número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido
(artículo 83.2.a) del RGPD): ARES CAPITAL no ha informado suficientemente a sus
trabajadores sobre los datos recolectados por las aplicaciones que están obligados a
descargar, así como sobre la desconexión de estas al finalizar la jornada laboral, lo
que les ha impedido conocer qué datos están siendo tratados sobre su persona, con
quién los comparte el empleador y, además, sus derechos como afectados y cómo
ejercerlos. De acuerdo con el informe recogido de la herramienta AXESOR en fecha 2
de febrero de 2026, ARES CAPITAL cuenta con 5.787 empleados.
- Las categorías de los datos de carácter personal afectados por la infracción (artículo
83.2.g) del RGPD): Las aplicaciones que los empleados están obligados a descargar
cuentan con permisos para acceder a una gran diversidad de datos personales de los
afectados, tales como la información sobre el estado físico, información personal,
contactos y grabaciones de voz o sonido, fotos y videos, entre otros.
Asimismo, se consideran los siguientes factores de graduación en calidad de
agravantes:
- La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales (artículo 76.2.b) de la LOPDGDD): ARES CAPITAL está habituada al
tratamiento continuo de los datos personales y de geolocalización de sus empleados.
El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2 de
la LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el
artículo 13 del RGPD, permite fijar una sanción de multa administrativa de 20.000,00
euros .
XII
Adopción de medidas correctivas
Confirmadas las infracciones, de acuerdo con lo establecido en el artículo 58.2.d) del
RGPD, según el cual cada autoridad de control podrá “ ordenar al responsable o
encargado del tratamiento que las operaciones de tratamiento se ajusten a las
disposiciones del presente Reglamento, cuando proceda, de una determinada manera
y dentro de un plazo especificado…” ,
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

31 / 33
se requiere a ARES CAPITAL para que, en el plazo máximo de 2 meses , a contar
desde la fecha de ejecutividad de esta resolución finalizadora de este procedimiento,
adopte las medidas siguientes:
- Acreditar el cumplimiento del principio de min imización de datos recogido en el
artículo 5.1 c) del RGPD y, en concreto, que no se recopila más datos
personales de los trabajadores de los estrictamente necesarios para llevar a
cabo el desempeño del servicio.
- Acreditar la disposición de una base de licitud válida de acuerdo con el artículo
6.1 del RGPD para el tratamiento que afecte a los teléfonos personales de los
trabajadores o cese en el mismo.
- Acreditar que se ha informado a los trabajadores de acuerdo con el artículo 13
sobre los aspectos relacionados con el tratamiento de datos personales que
conlleva el uso de aplicaciones móviles en los terminales que usan para el
desempeño de sus labores profesionales, así como la desconexión de éstas al
finalizar la jornada laboral.
La imposición de esta medida es compatible con la sanción consistente en multa
administrativa, según lo dispuesto en el art. 83.2 del RGPD.
Se advierte que no atender la posible orden de adopción de medidas impuestas por
este organismo en la resolución del presente procedimiento sancionador podrá ser
considerado como una infracción administrativa conforme a lo dispuesto en el RGPD,
tipificada como infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la
apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada,
la Presidencia de la Agencia Española de Protección de Datos RESUELVE :
PRIMERO : IMPONER a ARES CAPITAL, S.A. , con NIF A80358955 , por una
infracción de los artículos 13, 5.1.c) y 6.1 del RGPD, tipificados en el Artículo 83.5 del
RGPD, con una multa de 200.000,00 euros.
SEGUNDO : ORDENAR a ARES CAPITAL, S.A. , con NIF A80358955 , que en virtud
del artículo 58.2.d) del RGPD, en el plazo máximo de 2 meses , a contar desde la
fecha de ejecutividad de la resolución finalizadora de este procedimiento, acredite
haber procedido al cumplimiento las medidas siguientes:
- Acreditar el cumplimiento del principio de min imización de datos recogido en el
artículo 5.1 c) del RGPD y, en concreto, que no se recopila más datos
personales de los trabajadores de los estrictamente necesarios para llevar a
cabo el desempeño del servicio.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

32 / 33
- Acreditar la disposición de una base de licitud válida de acuerdo con el artículo
6.1 del RGPD para el tratamiento que afecte a los teléfonos personales de los
trabajadores o cese en el mismo.
- Acreditar que se ha informado a los trabajadores de acuerdo con el artículo 13
sobre los aspectos relacionados con el tratamiento de datos personales que
conlleva el uso de aplicaciones móviles en los terminales que usan para el
desempeño de sus labores profesionales, así como la desconexión de estas al
finalizar la jornada laboral.
TERCERO : NOTIFICAR la presente resolución a ARES CAPITAL, S.A.
CUARTO : Esta resolución será ejecutiva una vez finalice el plazo para interponer el
recurso potestativo de reposición (un mes a contar desde el día siguiente a la
notificación de esta resolución) sin que el interesado haya hecho uso de esta facultad.
Se advierte al sancionado que deberá hacer efectiva la sanción impuesta una vez que
la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b)
de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario
establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real
Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso, indicando el NIF del sancionado y el número de
procedimiento que figura en el encabezamiento de este documento, en la cuenta
restringida nº IBAN: ES00-0000-0000-0000-0000-0000 (BIC/Código SWIFT:
CAIXESBBXXX) , abierta a nombre de la Agencia Española de Protección de Datos en
la entidad bancaria CAIXABANK, S.A.. En caso contrario, se procederá a su
recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra
entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago
voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se
encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago
será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública. La publicación se realizará una vez haya sido notificada a
los interesados .
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es

33 / 33
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP , se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-
web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contencioso-
administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-101025
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
C/ Jorge Juan 6 www.aepd.es
28001 - Madrid sedeaepd.gob.es