La Agencia Española de Protección de Datos (AEPD) ha sancionado con 80.000 euros a una empresa por utilizar los teléfonos móviles personales de sus empleados para gestionar los códigos de doble factor de autenticación necesarios para acceder a sistemas de un cliente internacional. Esta resolución pone de manifiesto el valor de proteger la privacidad de los trabajadores, incluso cuando se trata de medidas de seguridad informática aparentemente justificadas.
La empresa, que presta servicios de contact center para un cliente extranjero, requería un sistema de doble autenticación (2FA) para que su plantilla accediera a las herramientas corporativas del cliente. Para ello, solicitó y facilitó a ese cliente los números de teléfono personal de más de 200 trabajadores, con el fin de que recibieran por SMS los códigos necesarios para iniciar sesión.
Aunque la compañía defendió que se trataba de una solución “temporal” mientras se dotaba a la plantilla de dispositivos corporativos, esta justificación no fue aceptada por la AEPD, que entendió que la cesión de números personales a terceros constituye un tratamiento de datos no proporcional ni necesario.
¿Por qué fue considerado una infracción?
La AEPD rechazó la alegación de que la medida estuviera amparada por el artículo 6.1 del Reglamento General de Protección de Datos (RGPD). Según este criterio, la ejecución del contrato laboral no autoriza automáticamente a la empresa a emplear datos personales de los trabajadores cuando existen alternativas razonables. En este caso, el uso de teléfonos personales no era indispensable y podría haberse evitado con medios corporativos adecuados.
La Agencia destacó además que la empresa había sido advertida internamente de la improcedencia de esta práctica por parte de su Delegado de Protección de Datos y que ignoró esas advertencias. Este factor agravó la infracción, ya que se trató de una conducta persistente, afectando a gran parte de la plantilla durante un periodo prolongado.
Consecuencias y obligaciones impuestas
Más allá de la multa original, que tras reducciones quedó en 48.000 euros, la empresa fue obligada a cesar el tratamiento de datos ilícito. La resolución obliga a que, en un plazo máximo de tres meses, se elimine cualquier uso de los teléfonos personales de los trabajadores para acceder a sistemas empresariales o de terceros.
La AEPD también citó una sentencia de la Audiencia Nacional que declara nulas las cláusulas de contratos laborales que obligan a los trabajadores a facilitar sus dispositivos personales para recibir códigos de autenticación. Esto refuerza la doctrina de que los medios técnicos necesarios para el trabajo deben ser proporcionados por el empleador.
Este caso subraya que la seguridad informática no puede trasladar a los empleados la carga de utilizar sus bienes privados, ni puede justificarse el acceso a datos personales sin una base legal sólida y proporcional.
Para las organizaciones, la resolución de la AEPD actúa como recordatorio de que:
El teléfono móvil personal debe considerarse un dato íntimo y protegido.
La empresa debe proveer medios corporativos cuando se exija autenticación adicional.
Cualquier tratamiento de datos personales debe cumplir con los principios de necesidad y proporcionalidad del RGPD.
Las empresas deben revisar sus políticas de seguridad y prácticas de acceso remoto para evitar vulneraciones de la normativa de protección de datos y sanciones costosas.
En Forlopd tenemos una amplia experiencia ayudando a profesionales, empresas y entidades a mejorar la privacidad de su información. Para ello adaptamos sus procesos a las normativas vigentes cómo el Reglamento General de Protección de Datos (RGPD) o la ley orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Puedes solicitarnos un análisis de cumplimiento gratuito aquí y nuestros técnicos te guiarán.
