¿Has informado al comité del GPS? No basta

Después de semanas de papeleo, por fin convocas al comité de empresa, le pones delante la propuesta de instalar el GPS en las furgonetas, dejas constancia por escrito de que la plantilla está informada, y respiras. Lo he dicho, lo he consultado, estoy en regla. Es la misma tranquilidad de quien sale de la autoescuela con el carné nuevo en la mano y cree que ya sabe conducir.

El problema es que ese paso no es un salvoconducto. Informar y consultar a la representación legal, como pide el artículo 64 del Estatuto de los Trabajadores, y dar el aviso de privacidad previo que exige el artículo 90 de la LOPDGDD, es exactamente lo que tienes que hacer. Pero abre una puerta, no te mete dentro de la habitación. Entre las dos cosas hay la misma distancia que hay entre sentirse en regla y estarlo de verdad. Parece una sutileza de abogados, hasta que llega una sanción a recordarte que de sutil no tiene nada.

Porque haber avisado al comité no legaliza por arte de magia lo que recojas después. El comité sabe que el GPS está ahí, perfecto, pero el RGPD no pregunta si lo sabe el comité: pregunta qué datos recoges, cuáles no, cuánto tiempo los guardas y, sobre todo, qué le cuentas al trabajador que acaba dentro del sistema. La consulta es el trámite laboral. Las garantías son otra cosa, y las pone otra autoridad.

Lo aprendió caro quien tenía el control a la vista

Lo aprendió de la manera más cara una empresa de VTC que el control de sus conductores lo tenía a plena luz. Nada de cámaras escondidas ni de rastreadores secretos: los conductores tenían que instalarse varias apps operativas en el móvil para poder trabajar, y entre ellas iba la geolocalización. Lo sabían todos, era condición para entrar. Y aun así la Agencia Española de Protección de Datos, en la resolución PS/00203/2023 del 29 de febrero de 2024, le impuso una sanción de 200.000 euros. No por espiar a escondidas, sino por cómo recogía: apps que pedían permisos para localizar en continuo, fotos, vídeos, contactos, audio, hasta datos del estado físico de la persona. Mucho más de lo que hacía falta para prestar el servicio.

La AEPD lo encuadró en tres artículos del RGPD que conviene tener pegados en la pared: el 5.1.c, que es la minimización, recoger lo justo y nada más; el 6.1, que es tener una base legal de verdad; y el 13, que es el deber de información, contarle al trabajador qué pasa con sus datos de forma clara. Que el conductor supiera que existía la app no tapó ninguno de los tres agujeros, porque el deber de informar no se cumple diciendo que algo está ahí, sino explicando qué recoge, para qué y durante cuánto. Saber que el GPS existe y entender qué hace con tu vida son dos cosas distintas, y la ley mira la segunda.

Y aquí está el punto que se le escapa a muchos empresarios de buena fe. La consulta al comité y el aviso previo responden a una sola pregunta: ¿puedo poner en marcha esta medida de control, sí o no? Una vez dentro empieza un segundo capítulo que ese trámite no cubre: cómo tratas los datos, cuáles recoges y cuáles no, cuánto los conservas y qué le dices a quien acaba dentro. Ese capítulo lo escribe el RGPD, y tiene un cobrador distinto, la AEPD, que no mira si avisaste al comité sino si respetaste necesidad, proporcionalidad y transparencia. Dos pasos, dos preguntas diferentes, y tienes que aprobar las dos.

Lo que cuenta de verdad, más allá del acta

Las garantías que marcan la diferencia no son misteriosas, son solo aburridas, y por eso se saltan. Cuenta recoger el mínimo: la posición sirve para saber que la intervención se hizo en ese sitio, no para reconstruir hora a hora dónde ha estado una persona. Cuenta no rastrear en continuo, porque un sistema que pinguea la ubicación todo el día acumula una montaña de datos que no vas a usar nunca y que, el día que llega una denuncia, se convierte en la prueba contra ti en vez de a tu favor. Cuenta borrar lo que ya no sirve, en lugar de amontonar años de rastros en un archivo que nadie mira hasta que lo mira quien no debe. Y cuenta, por encima de todo, el aviso de privacidad: explicar a la plantilla, por escrito y de forma comprensible, qué recoges, por qué y durante cuánto.

¿Te ha pasado alguna vez tener el acta del comité firmada y no haber redactado nunca una línea de aviso de privacidad para los tuyos? Es más común de lo que parece, y es justo el hueco por donde pasan las sanciones. El acta en esos casos no protege: si acaso demuestra que sabías que estabas manejando datos sensibles y que paraste la atención en el primer paso, el laboral, olvidando todo lo demás. Es como tener la licencia de armas y dejar la pistola cargada encima de la mesa de la cocina: el papel no te absuelve de cómo la usas.

Hay también un equívoco de calendario que pilla a muchos. La consulta y el aviso se hacen una vez y se archivan, y de ahí en adelante parece un asunto cerrado. Las garantías, en cambio, son un trabajo que continúa: cada vez que cambias de sistema, añades una función o contratas gente nueva, el cuadro hay que actualizarlo y el aviso hay que rehacerlo. Quien trata el cumplimiento como un sello cogido y olvidado se encuentra, años después, con un sistema crecido a lo loco y un aviso que habla de otra empresa.

Ponerse en regla de verdad

La buena noticia es que adecuarse no significa desmontarlo todo. Significa elegir herramientas pensadas para recoger poco y decirlo claro, y acompañarlas de los documentos correctos. Un sistema que detecta la posición solo en el momento del fichaje, a la entrada y a la salida, y nunca en medio, arranca ya con el pie bueno: recoge el mínimo por naturaleza, no por buena voluntad, y ese mínimo es exactamente lo que pide la ley. Queda la parte escrita, el aviso que pone a las personas al corriente, y ahí un modelo listo para rellenar te quita la excusa del no sé por dónde empezar.

GeoTapp se desarrolló justo así: la posición se registra con un toque al empezar y al terminar el turno, y en medio no hay rastreo, porque la prueba del trabajo no necesita perseguir a nadie. El visto bueno del comité te lo das con la consulta, las garantías te las das tú, y entre las dos no hay atajo. Quien las trata como un bloque único, y las resuelve de verdad, deja de abrir el correo con el miedo de encontrarse una carta de la Agencia.

El acta del comité casi todos la tienen. El aviso de privacidad escrito a los trabajadores, casi nadie. Y siempre es por esa línea que falta por donde la AEPD empieza a mirar.

La consulta abre la puerta, el aviso te mantiene dentro de la ley. Si esa línea aún no la has escrito, conviene empezar por el documento correcto.