ARES Capital, S.A.
La conoces, pequeño saltamontes, aunque no lo sepas.
Es la empresa con MÁS licencias VTC de España.
La que pone los conductores que mueven los Uber y los Cabify de medio país.
2.528 licencias en su nombre directo, 5.787 empleados, 256 millones de euros de facturación en 2024.
El gigante.
La matriz.
El j0dido pulpo del transporte privado.
Pues bien.
La Agencia Española de Protección de Datos, presidida por Lorenzo Cotino Hueso, le acaba de meter una sanción de 200.000 euros por convertir el teléfono móvil personal de cada conductor en un panóptico de bolsillo.
Un Big Brother con tarifa de datos.
Y lo bueno.
Lo verdaderamente bueno.
Es CÓMO se lo explica.
Ya sabrás, y si no lo sabes te lo voy a contar ahora, que la cosa empieza con un conductor cabreado.
Uno solo.
Que en julio de 2024 se planta delante de la AEPD y suelta: "Mira, me obligan a usar mi propio móvil, a meterle cuatro aplicaciones, y esas aplicaciones me ven la ubicación, los mensajes, las llamadas, las 24 horas del día".
Y la AEPD escucha.
Investiga.
Se fija en las capturas de pantalla de la Google Play Store.
Y descubre lo que cualquiera con dos dedos de frente puede ver: que esas apps recopilan ubicación continua, audio (sí, audio: grabaciones de voz o sonido), fotos y vídeo, información de estado físico (salud y fitness), contactos, información financiera, identificadores personales y, por supuesto, geolocalización precisa permanente.
¡Glurpppp!
El móvil del trabajador chupado por el sistema.
Y la empresa, lejos de callar, contesta a la AEPD con un escrito de manual del derecho corporativo más obtuso.
Defiende que ofrece "voluntariamente" la opción de móvil corporativo o móvil personal.
Que es libre elección.
Que muchos empleados eligen el móvil personal "por comodidad".
Que cobran un plus mensual de "uso móvil personal".
Y aquí viene la coletilla devastadora, la que la AEPD subraya con tinta roja en su resolución: la empresa proporcionará terminales corporativos "en la medida de nuestras posibilidades y conforme a las limitaciones presupuestarias y de plantilla".
Traducción: si no hay móvil de empresa, te jodes y pones el tuyo.
Eso, en cristiano jurídico, no es voluntariedad.
Es coacción con corbata.
¡Klong!
La AEPD lo machaca con tres infracciones distintas, una al lado de la otra, como tres clavos en el ataúd del consentimiento ficticio.
Primera: vulneración del artículo 5.1.c) del RGPD, principio de minimización de datos. 100.000 euros de multa.
¿Por qué?
Porque las aplicaciones recogen muchísimo más de lo que necesitan.
Para llevar a un pasajero del aeropuerto a su casa no hace falta que la app sepa tu ritmo cardíaco, ni que acceda a tu agenda personal, ni que pueda grabar audio de tu coche.
Y la AEPD trae a colación, además, la SAN 136/2019 de 6 de febrero (caso Glovo), que ya dijo que se podía geolocalizar la moto en lugar del repartidor para conseguir el mismo fin con menor injerencia.
La filosofía es la misma: si puedes hacerlo con menos datos, hazlo con menos datos. Punto.
Segunda: vulneración del artículo 6.1 del RGPD, falta de base legitimadora. 80.000 euros de multa. Aquí la AEPD recurre al considerando 43 del Reglamento, que es la dinamita: "Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibrio claro entre el interesado y el responsable del tratamiento".
Y hay un sitio del planeta donde el desequilibrio es la regla y no la excepción: la relación laboral.
Si no te dan móvil de empresa "porque no hay presupuesto", tu "consentimiento" para usar el tuyo no es libre. Es supervivencia económica disfrazada de check-box.
Tercera: vulneración del artículo 13 del RGPD, deber de información. 20.000 euros de multa.
La empresa no informó suficientemente sobre qué datos se recogen, para qué, durante cuánto tiempo, ni cómo desconectar las apps al terminar la jornada.
¡Wrrrrrank!
Cero transparencia.
Cero claridad.
Y si encima añades que la propia empresa reconoció en su escrito que el sistema MDM (Mobile Device Management) "asegura que no se pueda desconectar el sistema de la empresa", la indefensión informativa es total.
200.000 euros redonditos.
Y, lo más importante, dos meses para acreditar tres cosas: minimización efectiva, base de licitud válida y deber de información cumplido.
Si no, otra ronda de procedimiento sancionador.
¡Fwizzbang!
Vamos al ángulo que de verdad nos interesa, pequeño saltamontes.
Porque esto va mucho más allá de ARES Capital.
Esta resolución es una FOTOGRAFÍA.
Una radiografía nítida del estado de las cosas en la economía de plataformas españolas anno domini 2026.
¿Qué nos cuenta?
Nos cuenta que el modelo BYOD —Bring Your Own Device, "trae tu propio cacharro"— se ha convertido en la trampa perfecta para la externalización del coste laboral hacia el trabajador.
La empresa se ahorra los terminales (5.787 móviles a 600 euros son tres millones y medio de euros que se quedan en caja), paga un parche mensual de "compensación de uso", y a cambio mete una manada de aplicaciones que succionan datos de cada rincón del dispositivo del empleado.
Es un trato leonino.
La empresa pone la app.
El trabajador pone el aparato, los datos, el tiempo, la batería, la cobertura y la intimidad.
Y como bono adicional: cuando llega la sanción, la empresa paga 200.000 euros (calderilla para una compañía que factura 256 millones), y a otra cosa.
Mientras tanto, lleva años recolectando datos de miles de personas.
Una p+tada de las que duelen.
Pero sólo si lo miras con detenimiento.
Y esto enlaza con algo que llevamos meses contando en esta bitácora: la gestión algorítmica del trabajo no es ciencia ficción.
Está aquí.
Está dentro de tu móvil.
Está en la app que abres antes de empezar el turno y que sigue funcionando en segundo plano cuando la cierras (porque las apps de geolocalización siguen, aunque tú creas que no, salvo que apagues el dispositivo).
La AEPD le ha puesto coto a la versión más burda.
La versión "móvil personal obligatorio".
Pero el modelo subyacente —la vigilancia algorítmica continua, la elaboración de perfiles de conducción, la integración con plataformas de terceros como Uber/Cabify— sigue ahí.
La resolución no lo prohíbe.
Lo limita.
Lo somete a unos requisitos mínimos.
Y esto, ojo, conecta directamente con la Directiva (UE) 2024/2831 de trabajo en plataformas, que entra en aplicación el 2 de diciembre de 2026 (lo contábamos en marzo).
Entonces, todas estas prácticas tendrán que pasar por un escrutinio adicional: el del derecho a la información sobre sistemas automatizados de toma de decisiones, el de la supervisión humana, el de la negociación colectiva sobre algoritmos.
Y enlaza también con el AI Act europeo (Reglamento (UE) 2024/1689), que clasifica como "alto riesgo" los sistemas de IA usados para evaluar el rendimiento de los trabajadores, monitorizarlos o tomar decisiones sobre promoción/despido.
Estamos viendo, en directo, cómo el ordenamiento jurídico europeo se reorganiza para ponerle bridas al panóptico de bolsillo. Una sanción de 200.000 euros aquí.
Una directiva allá.
Un reglamento de IA por encima.
Pero la velocidad del derecho es geológica.
Y la velocidad de la implantación de estos sistemas es exponencial.
¡Tsjjjjank!
Esa es la grieta.
Y conviene poner la sanción en perspectiva fresca. La AEPD lleva abierto, entre enero de 2025 y marzo de 2026, 147 expedientes de investigación relacionados con inteligencia artificial.
Un incremento del 340% respecto al periodo anterior.
De ellos, 31 son específicamente sobre vigilancia algorítmica de empleados.
Y el 73% de las denuncias vienen de trabajadores en remoto que descubren, demasiado tarde, que sus empleadores instalaron software de monitorización con IA sin informarles adecuadamente.
Hace apenas dos meses, el 3 de diciembre de 2025, la AEPD ya había sancionado a MAJOREL SP SOLUTIONS con 48.000 euros (rebajados desde 80.000) por usar el móvil personal de los trabajadores como doble factor de autenticación.
Misma lógica.
Mismo razonamiento.
Misma desproporción.
La doctrina administrativa se está consolidando a velocidad de tortuga ilustrada. Pero se está consolidando.
Termino con una reflexión que llevo dándole vueltas desde que abrí el PDF.
Hay un detalle precioso en la resolución.
La empresa, en su escrito de descargo, dice que la incidencia se originó "debido al desconocimiento por parte del trabajador/reclamante sobre el alcance y la finalidad del uso de las aplicaciones".
Es decir: la culpa es del trabajador por no entender lo que su empresa le está haciendo.
La AEPD, en cambio, le da la vuelta a la tortilla: si el trabajador no entendía, era porque la empresa no había informado.
Y si no había informado, era porque no quería informar.
Y si no quería informar, era porque sabía que si informaba, igual el trabajador decía que no.
Ese es el j0dido fondo de la cuestión, pequeño saltamontes.
La opacidad como modelo de negocio.
El "consentimiento por defecto" como nueva forma de servidumbre digital.
El BYOD como caballo de Troya de la vigilancia.
Y mientras tanto, el sector VTC sigue engullendo licencias, los hedge funds británicos siguen metiendo billones, y el conductor sigue subido a su Tesla Model
Y firmando cláusulas adicionales que ni lee, porque no le da la vida.
200.000 euros (calderilla)
Una multa simbólica (y muy bajita para mi gusto).
Pero también una semilla (que no sabemos si va a germinar y crecer).
Una semilla de jurisprudencia administrativa.
De doctrina.
De línea editorial de la autoridad de control.
Y un recordatorio para todos los que asesoramos: cuando una empresa te diga que el móvil personal del trabajador es "voluntario", pregunta qué pasa cuando no hay terminales corporativos disponibles.
Si la respuesta es "que use el suyo", ahí tienes tu nulidad de consentimiento.
Tu base legitimadora destruida.
Tu responsabilidad sancionadora servida en bandeja de plata.
Y si encima te dicen que no hay presupuesto para móviles corporativos pero sí lo hay para 256 millones de facturación anual, ya sabes que la conversación ha terminado.
Despierta, pequeño saltamontes.
Tu móvil no es tuyo cuando trabajas.
O lo es, pero con condiciones.
Y esas condiciones, ahora, las marca el Reglamento General de Protección de Datos.
Y las hace cumplir Lorenzo Cotino Hueso desde la AEPD.
¡¡¡¡¡EMPIEZA A LEER LAS CLÁUSULAS ADICIONALES DE TU CONTRATO!!!!!
Y si eres asesor laboral, abogado o graduado social: añade esta resolución a tu carpeta de "imprescindibles 2026".
Porque la vas a citar mucho.
Mucho.
MUCHO.
Ahora comparte esto porque es importante
GLOSARIO DETALLADO PARA QUE NADIE SE QUEDE FUERA:
AEPD (Agencia Española de Protección de Datos): Autoridad pública independiente española encargada de velar por el cumplimiento de la normativa de protección de datos. Es la única autoridad de control en España a efectos del RGPD. Está presidida actualmente por Lorenzo Cotino Hueso. Tiene capacidad sancionadora, inspectora y consultiva, y sus resoluciones son recurribles ante la Audiencia Nacional.
RGPD (Reglamento General de Protección de Datos): Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. Es la norma fundamental europea sobre tratamiento de datos personales, de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018. Sustituye a la Directiva 95/46/CE y configura un sistema sancionador con multas que pueden alcanzar el 4% de la facturación global anual.
LOPDGDD (Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales): Norma española que desarrolla y complementa el RGPD. Incluye el Título X sobre garantía de los derechos digitales, donde se regula el derecho a la desconexión digital, la videovigilancia laboral y la protección frente a la intromisión digital.
BYOD (Bring Your Own Device): "Trae tu propio dispositivo". Práctica empresarial consistente en que el trabajador utiliza sus propios equipos informáticos personales (móvil, tablet, portátil) para fines laborales. Genera importantes problemas de protección de datos, ciberseguridad y desconexión digital, ya que difumina la frontera entre la esfera personal y la profesional.
MDM (Mobile Device Management): Sistema de gestión de dispositivos móviles que permite al empleador controlar remotamente terminales (sean corporativos o personales) instalando aplicaciones, configurando ajustes, restringiendo funcionalidades e impidiendo la desactivación de determinados servicios. En el caso ARES, se usaba para garantizar que las apps de la empresa no pudieran desinstalarse.
Principio de minimización de datos (art. 5.1.c RGPD): Principio según el cual los datos personales deben ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados". Prohíbe la recogida masiva o preventiva de datos: si un fin se puede cumplir con menos información, hay que recoger menos información.
Base de licitud (art. 6.1 RGPD): Condición jurídica que permite tratar datos personales legalmente. Existen seis bases: (a) consentimiento, (b) ejecución de contrato, (c) obligación legal, (d) interés vital, (e) interés público y (f) interés legítimo. Sin base de licitud, todo tratamiento es ilícito.
Consentimiento libre, específico, informado e inequívoco (art. 4.11 RGPD): Definición exigente del consentimiento válido. "Libre" significa sin coacción ni desequilibrio; "específico" implica que se concede para fines concretos y separables; "informado" exige información previa y comprensible; "inequívoco" requiere acción afirmativa clara, no silencio ni casillas premarcadas.
Considerando 43 del RGPD: Pasaje preambular del Reglamento que precisa que el consentimiento NO es base válida cuando exista un "desequilibrio claro" entre interesado y responsable. La doctrina y la jurisprudencia europeas lo aplican prácticamente de forma automática a la relación laboral.
Deber de información (art. 13 RGPD): Obligación del responsable del tratamiento de informar al interesado, en el momento de la recogida de los datos, sobre identidad del responsable, fines, base jurídica, destinatarios, plazo de conservación, derechos y vía para presentar reclamaciones. Su incumplimiento se considera infracción de carácter formal.
Responsable del tratamiento (art. 4.7 RGPD): Persona física o jurídica que determina los fines y medios del tratamiento de datos personales. Es el sujeto principal de obligaciones bajo el RGPD y el destinatario natural de las sanciones.
Encargado del tratamiento (art. 4.8 RGPD): Persona física o jurídica que trata datos personales por cuenta del responsable. Su relación con éste debe formalizarse mediante contrato (art. 28 RGPD).
SAN 136/2019, de 6 de febrero (caso Glovo): Sentencia de la Audiencia Nacional que declaró desproporcionada la geolocalización de repartidores mediante app instalada en su móvil personal, al existir alternativas menos invasivas (como la geolocalización del vehículo). Es leading case en materia de minimización de datos en plataformas digitales y se cita expresamente en la resolución contra ARES.
Directrices 05/2020 del CEPD: Documento del Comité Europeo de Protección de Datos (European Data Protection Board) que interpreta los requisitos del consentimiento bajo el RGPD. Es referencia obligada cuando se discute la validez del consentimiento, especialmente en contextos de desequilibrio de poder.
VTC (Vehículo de Turismo con Conductor): Modalidad de transporte de viajeros mediante autorización administrativa que permite la prestación del servicio fuera del régimen del taxi. Sirve de soporte jurídico a las flotas que operan a través de plataformas como Uber o Cabify.
ARES Capital, S.A.: Empresa española titular del mayor número de licencias VTC del país (2.528 a su nombre directo). Forma parte del grupo Garment Investments, junto con Moove Cars, controlado en última instancia por el fondo de inversión británico King Street Capital. Factura 256 millones de euros anuales y emplea a 5.787 personas.
Gestión algorítmica del trabajo: Modelo de organización laboral en el que la asignación de tareas, la evaluación del rendimiento, la determinación de horarios, la imposición de incentivos y la toma de decisiones disciplinarias se realiza mediante sistemas automatizados, opacos para el trabajador, basados en la recolección masiva de datos. Es el corazón del modelo de negocio de plataformas como Uber, Cabify, Glovo, Amazon Flex o Just Eat.
Directiva (UE) 2024/2831 sobre trabajo en plataformas: Norma europea aprobada el 23 de octubre de 2024, con plazo de transposición hasta el 2 de diciembre de 2026. Refuerza la protección frente a la gestión algorítmica, exige supervisión humana en decisiones automatizadas significativas, garantiza información sobre sistemas automatizados y permite la negociación colectiva de algoritmos.
AI Act (Reglamento (UE) 2024/1689): Reglamento europeo sobre inteligencia artificial, primer marco jurídico horizontal del mundo sobre IA. Clasifica los sistemas según riesgo (inaceptable, alto, limitado, mínimo). Los sistemas de IA usados para evaluar trabajadores, monitorizarlos o tomar decisiones sobre ellos son considerados "alto riesgo" y sometidos a obligaciones estrictas.
Geolocalización continua: Técnica de seguimiento permanente de la ubicación de un dispositivo (y, por extensión, de su portador) mediante GPS u otras tecnologías. En el ámbito laboral, su licitud exige proporcionalidad, información previa y limitación a la jornada efectiva de trabajo (TJUE C-708/18, asunto Asociación Profesional Élite Taxi).
Principio de proporcionalidad: Construcción jurisprudencial del Tribunal Constitucional español (STC 207/1996 y posteriores) que exige que toda medida limitativa de derechos fundamentales supere tres juicios: idoneidad (es apta para el fin), necesidad (es la menos lesiva posible) y proporcionalidad en sentido estricto (los beneficios superan los sacrificios).
Doble factor de autenticación (2FA): Sistema de seguridad que exige dos elementos para verificar la identidad del usuario (típicamente, contraseña + código enviado al móvil). Cuando se exige el móvil personal del trabajador, plantea problemas idénticos al BYOD.
Cláusulas adicionales del contrato: Pactos accesorios incluidos en el contrato de trabajo, generalmente predispuestos unilateralmente por el empresario. Suelen contener autorizaciones para tratamiento de datos, uso de dispositivos, cláusulas de confidencialidad o pactos de no competencia. Su validez exige consentimiento informado y libre, requisito que en la práctica difícilmente se cumple.
Audiencia Nacional (AN): Órgano jurisdiccional español competente para conocer, en primera instancia, de los recursos contencioso-administrativos contra resoluciones de la AEPD. Sus sentencias son recurribles en casación ante el Tribunal Supremo (Sala Tercera).
Recurso potestativo de reposición: Vía administrativa previa y opcional a la jurisdiccional, mediante la cual el sancionado puede pedir a la propia AEPD que revise su resolución. No es obligatorio: el interesado puede acudir directamente a la Audiencia Nacional.
Fuentes consultadas:
La AEPD investiga el uso de IA en empresas españolas: 147 expedientes y +340% - Javadex (marzo 2026)
