Microlab Hard S.L.

La inminente obligatoriedad de la baliza V16 conectada, prevista para el 1 de enero de 2026, ha generado dudas entre conductores particulares y profesionales. En los últimos meses se han difundido mensajes alertando de que la baliza permitiría la vigilancia permanente o excesiva del conductor, así como el rastreo continuado del vehículo. Para aclarar estas inquietudes, la Agencia Española de Protección de Datos (AEPD) ha publicado un comunicado en el que explica por qué este dispositivo no supone un riesgo para la privacidad.

A continuación, analizaremos los argumentos de la AEPD, el encaje jurídico de la baliza dentro de la normativa de protección de datos y, especialmente, por qué su funcionamiento no es equiparable a los sistemas de geolocalización utilizados por algunas empresas respecto de sus trabajadores.

¿Qué datos transmite realmente la baliza V16?

La baliza V16 conectada incorpora dos funcionalidades precisas y legalmente limitadas:

• Una luz visible para señalizar la avería o emergencia.
• El envío automático de un aviso a los sistemas de tráfico, exclusivamente cuando se activa.

Esta comunicación incluye la ubicación del vehículo detenido y un identificador técnico del dispositivo. Este identificador no está asociado a la identidad de ninguna persona ni a la matrícula del vehículo. No existe ningún registro administrativo que vincule la baliza con su comprador o con el vehículo en que se coloca, por lo que su adquisición es totalmente anónima.

Esto implica que el dato transmitido (localización del incidente) no es un dato personal porque, tal como exige el RGPD, no permite identificar directa o indirectamente a una persona física.

Otro elemento que destaca la AEPD en su comunicado es que esta baliza no transmite información mientras no está activada, pues solo envía datos durante la situación de emergencia (es decir, mientras está encendida), no antes ni después.

La geolocalización en el ámbito laboral y el uso de la baliza por parte de los empleados de una empresa

Como ya hemos señalado anteriormente, la baliza no identifica al usuario que la utiliza y, por ende, no es nominativa. El RGPD considera que hay tratamiento de datos personales cuando es posible identificar o hacer identificable a una persona, por lo que su uso no conlleva el tratamiento de datos personales.

Además, las empresas no pueden modificar o añadir funcionalidades a estas balizas, pues el Real Decreto 159/2021 prohíbe expresamente que la baliza incorpore funcionalidades adicionales distintas a la comunicación del incidente, por lo que no pueden ser utilizadas para el control laboral.

Con independencia de lo anterior, las empresas sí que pueden utilizar otros sistemas para geolocalizar a los empleados, siempre que cumplan los siguientes requisitos:

• El empleador solo puede utilizar sistemas de geolocalización cuando sea estrictamente necesario para la organización del trabajo o el control laboral permitido por el Estatuto de los Trabajadores (ET).
• Exista un interés legítimo que prevalezca sobre los derechos del trabajador y no exista una alternativa menos intrusiva.
• El trabajador haya sido informado previamente sobre la geolocalización, su finalidad, sus derechos y la base legal del tratamiento.
• Se limite su uso a la jornada laboral. Es decir, se prohíbe uso para controlar al empleado fuera de su horario.

La incorporación de nuevas tecnologías obligatorias, como la baliza V16, no supone una renuncia a la privacidad, sino un avance en seguridad vial que cuenta con plenas garantías jurídicas. Por ello, desde microlab ayudamos a las organizaciones a distinguir con claridad entre herramientas de emergencia y sistemas de control laboral, implementando políticas de cumplimiento que protegen los datos personales y blindan a la empresa ante cualquier incertidumbre legal.

La Agencia Española de Protección de Datos (AEPD) ha impuesto a Aena una sanción de diez millones de euros por desplegar sistemas de reconocimiento facial en aeropuertos españoles sin haber realizado, previamente, una evaluación de impacto en protección de datos (EIPD) conforme a la normativa. Además, ha ordenado la suspensión inmediata y temporal de todos los tratamientos de datos biométricos relacionados con ese sistema.

Esta resolución representa un hito, tanto por la cuantía como por sus fundamentos: la AEPD considera que Aena implementó un tratamiento de “alto riesgo” (por tratar datos biométricos), sin justificar la necesidad ni la proporcionalidad, y sin adoptar las garantías requeridas. Por todo lo anterior, este caso sirve como un referente para cualquier empresa u organización que pretenda usar tecnologías que procesen datos personales biométricos, como la huella dactilar o el reconocimiento facial.

Falta de proporcionalidad y necesidad

El artículo 35 del Reglamento General de Protección de Datos (RGPD) exige una evaluación de impacto previa cuando se van a tratar datos que entrañan un alto riesgo para los derechos y libertades de las personas, como es el caso que nos ocupa. La AEPD señala que la evaluación presentada por Aena tenía graves deficiencias: no contenía un análisis realista de la necesidad o proporcionalidad del sistema, no evaluaba adecuadamente los riesgos, ni establecía medidas técnicas y organizativas suficientes para minimizar el riesgo.

El sistema biométrico de Aena utilizaba las imágenes captadas para identificar los rostros a través de un sistema de identificación “uno a varios”, es decir, las caras captadas se cotejaban con la totalidad de una base de datos, lo que se considera un método considerado especialmente intrusivo. Esa técnica es la contrapuesta al método de autenticación “uno a uno”, es decir, el interesado se identifica en un paso previo y el sistema, a través de la lectura biométrica, comprueba su identidad. En definitiva, existían alternativas menos intrusivas que no se estudiaron lo suficiente, según la AEPD.

Finalmente, la Agencia recalca que la proporcionalidad de la medida no estaba debidamente justificada en función de sus objetivos, que no eran otros que agilizar el embarque o mejorar experiencia de usuario, pues estos podrían haberse alcanzado con sistemas menos invasivos.

¿Cuáles son las claves del caso?

• Datos biométricos como tratamiento de alto riesgo.
  El RGPD califica los datos biométricos como categorías especiales de datos, que requieren medidas reforzadas.
  Cualquier tratamiento debe evaluarse con una evaluación de impacto, y su despliegue exige especial diligencia.
  La propia AEPD ofrece guías específicas sobre EIPD, disponibles en su portal de guías y herramientas oficiales.
• No es suficiente con el consentimiento de los interesados.
  Aunque Aena defiende que los pasajeros prestaron su consentimiento voluntario, la AEPD recuerda que el consentimiento no valida un tratamiento desproporcionado o innecesario.
  La biometría exige una base jurídica más robusta y un análisis riguroso del impacto en derechos fundamentales, conforme a las directrices del Comité Europeo de Protección de Datos (EDPB) sobre tratamiento de datos biométricos.
• Riesgo reputacional y económico.
  Con 10 millones de euros de multa, más la suspensión del sistema, esta resolución pone en relieve el coste de optar por tecnologías invasivas, más allá de los elevados costes de su implementación.
• Precedente doctrinal.
  Esta sanción consolida la doctrina de la AEPD y del Comité Europeo de Protección de Datos, cuyas directrices sobre proporcionalidad y necesidad pueden consultarse en sus guías oficiales,
  admitiendo el uso de biometría únicamente cuando se justifique rigurosamente su necesidad, proporcionalidad y la inexistencia de métodos alternativos menos intrusivos.

Qué hacer antes de implantar un sistema de lectura biométrica

Antes de instalar un sistema de lectura biométrica, será necesario que cualquier organización realice con carácter previo una evaluación de impacto rigurosa y documentada que analice la necesidad, proporcionalidad, riesgos y medidas de mitigación.
Para ello, puede resultar de utilidad la herramienta de evaluaciones de impacto de la AEPD disponible en sus recursos oficiales.

En cualquier caso, antes de acudir al tratamiento de datos biométricos las organizaciones siempre deben estudiar las alternativas menos intrusivas para los derechos y la intimidad de los interesados, debiendo de ser el tratamiento de datos biométricos la última opción viable para alcanzar el fin perseguido.

Permítenos guiarte para que la innovación tecnológica de tu empresa vaya siempre de la mano de la seguridad jurídica y la confianza de tus clientes.

No permitas que la falta de una Evaluación de Impacto adecuada frene tus proyectos o derive en la suspensión de tus servicios. Contáctanos y validaremos tus procesos para asegurar un tratamiento de datos ético, seguro y conforme a la ley.

Tras más de quince años asesorando a empresas españolas en materia de protección de datos, en Microlab podemos constatar que muchas vulneraciones no nacen de ataques sofisticados, sino de fallos básicos y de falta de conocimiento de la normativa dentro de la organización.

Nuestra experiencia nos dicta que la prevención y la cultura interna son más eficaces que cualquier parche tras la vulneración. Por ello, a continuación, desarrollaremos los errores más frecuentes que nuestro departamento legal ha identificado durante los últimos años, así como las medidas prácticas para corregirlos.

Publicación de imágenes en internet

Uno de los fallos más habituales es la publicación de imágenes de empleados o clientes en internet sin evaluar el tratamiento. Fotografías usadas en redes sociales corporativas, campañas comerciales o incluso en perfiles internos se difunden con frecuencia sin analizar su base legal, finalidad ni duración. Las imágenes son datos personales (y, en ocasiones, merecen especial protección por identificar a menores) que requieren una base jurídica (como norma general el consentimiento informado y verificable) y una información clara al afectado. La Guía sobre el uso de imágenes de la AEPD recuerda que publicarlas sin estas garantías expone a la empresa a reclamaciones y sanciones.

Videovigilancia

El uso indebido de la videovigilancia es problema frecuente en las empresas. Muchas entidades instalan cámaras por motivos de seguridad, pero después emplean las grabaciones para finalidades secundarias (control de rendimiento, monitorización de empleados o difusión de imágenes). La Guía de Videovigilancia de la AEPD recuerda que el tratamiento debe estar justificado, limitado y comunicado mediante carteles informativos; además, deben adoptarse medidas de seguridad y limitar el acceso a las grabaciones. Incumplir estas exigencias ha dado lugar a numerosos expedientes y sanciones.

Enviar correos electrónicos sin ocultar sus destinatarios

Enviar correos masivos sin usar copia oculta (BCC) es uno de los problemas más frecuentes en materia de seguridad. La AEPD ha resuelto multitud de casos donde empresas mostraron a múltiples destinatarios las direcciones de terceros, vulnerando la confidencialidad de la información. Estas reclamaciones suelen finalizar en una sanción administrativa y un grave daño reputacional. El buscador de resoluciones de la AEPD recoge numerosos procedimientos relacionados con este tipo de errores. La buena práctica es activar la copia oculta para listas de varios destinatarios y, para el envío de comunicaciones comerciales, usar herramientas que gestionen consentimientos y bajas.

La copia de seguridad: principal arma para recuperar la información

La falta de copias de seguridad y de planes de respuesta ante brechas es un error clásico. Si una empresa sufre un robo, pérdida o rotura de equipos que contenían datos personales, no solamente perderían la información (lo que conlleva un incumplimiento de la normativa) sino que en muchas ocasiones no podrían continuar su actividad con normalidad. Organismos como INCIBE recomiendan implementar copias periódicas verificables, inventario de activos y procedimientos de notificación y contención de incidentes.

Acuerdos de confidencialidad

Otro error extendido es no formalizar acuerdos de confidencialidad con empleados y proveedores con acceso a datos personales. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos subrayan que el responsable debe asegurar que quienes tratan datos estén sometidos a acuerdos de confidencialidad o a un deber de secreto de naturaleza estatutaria.

El envío de publicidad sin base legal

El envío de comunicaciones comerciales sin base legal (sin consentimiento válido o sin una relación contractual previa) es una de las principales fuentes de sanciones. La legislación exige pruebas del consentimiento y un respeto estricto a las listas Robinson (listas de exclusión publicitaria). Además, el usuario debe disponer siempre de la posibilidad de retirar el consentimiento, por lo que una mala gestión del registro de bajas multiplica el riesgo de incumplimiento.

Recomendaciones prácticas

• Revisar políticas de imagen y redes: exigir consentimiento por escrito para uso publicitario y limitar la publicación a lo estrictamente necesario.
• Revisar el sistema de videovigilancia: revisar cartelería informativa, acotar campos de visión de las cámaras, revisar periodos de conservación y documentar acceso a grabaciones.
• Implantar herramientas de correo profesional y formación para evitar envíos con destinatarios visibles.
• Establecer un plan de copias de seguridad y respuesta a incidentes con pruebas periódicas de recuperación.
• Formalizar acuerdos de confidencialidad con empleados y documentar la formación en protección de datos.
• Revisar las bases jurídicas de las comunicaciones comerciales y mantener un registro de consentimientos.

Las medidas señaladas no sólo reducen el riesgo de recibir una sanción, sino que protegen la reputación y la confianza de los clientes.

Con nuestra auditoría y asesoramiento, transformarás el cumplimiento normativo en un activo para tu empresa, evitando que descuidos cotidianos deriven en graves conflictos legales. No permitas que la falta de protocolos internos o el desconocimiento del personal comprometan la seguridad de tu negocio.

Contáctanos y te ayudaremos a corregir estos errores frecuentes y a garantizar una protección de datos integral y verificable.