La Agencia Española de Protección de Datos (AEPD) ha sancionado a una empresa por gestionar indebidamente información privada de su plantilla. En concreto, por exigir a sus trabajadores a usar sus teléfonos móviles personales para recibir los códigos de doble factor de autenticación para acceder al sistema informático de un cliente internacional.
Aunque la entidad alegó que la medida era provisional, se constató que más de 200 empleados se vieron afectados a pesar de las advertencias previas de su propio delegado de protección de datos. En consecuencia, además de la multa administrativa de 80.000 euros, le ordenaron el cese del tratamiento ilícito de estos dispositivos personales en un plazo máximo de 3 meses.
Profundizando en los hechos, la compañía comenzó a prestar servicios de Contact Center para un cliente internacional y, para que los trabajadores pudieran acceder a los sistemas del cliente, se necesitaba un sistema de doble autenticación mediante el envío de un token o contraseña por SMS.
La acción comprometida es que la empresa solicitó y cedió a la compañía internacional, entre otros datos, los números de móvil personal de los empleados. De hecho, la misma reconoció que, al no disponer de teléfonos móviles profesionales para todos los agentes, utilizó los teléfonos personales como “solución temporal”. Así, de las 364 personas activas en el servicio, 203 trabajadores tenían asociado su teléfono personal para recibir estas credenciales.
La empresa alegó estar en un proceso de transición
En su defensa, la compañía sostuvo que la cesión de datos se amparaba en el artículo 6.1.b) del Reglamento General de Protección de Datos (RGPD), argumentando que el tratamiento era necesario para la ejecución del contrato. En este sentido, indicaron que sin esa doble autenticación (y, por tanto, sin ceder el teléfono) el empleado no podría trabajar en el servicio para el que fue contratado ni se garantizaría la seguridad de los sistemas del cliente.
Paralelamente, la empresa admitió que la cuestión ya había sido discutida internamente y que tanto su Delegado de Protección de Datos (DPO) como el Director Legal habían determinado previamente que el uso de teléfonos personales para fines profesionales es contrario a la normativa de protección de datos. Por ello, para justificarse, alegaron que estaban en un proceso de transición para comprar móviles corporativos y sustituir los personales.
La AEPD sanciona la práctica con 80.000 euros
La Agencia Española de Protección de Datos rechazó la justificación de la empresa y determinó que habían vulnerado el artículo 6.1 del RGPD. La AEPD explicó que la ejecución de un contrato laboral no justifica la cesión del teléfono personal del trabajador a un tercero, sino que este dato pertenece a la esfera privada y su uso no es objetivamente necesario ni proporcional, especialmente cuando la propia empresa reconoció que era una medida provisional por falta de medios.
Citando el Estatuto de los Trabajadores, la agencia también recuerda que la empresa está obligada a dotar al trabajador de los medios necesarios, por lo que el uso del teléfono personal no puede considerarse necesario para la ejecución laboral.
En su resolución, la AEPD cita la Sentencia de la Audiencia Nacional 14/2024, que declara nulas las cláusulas que imponen al trabajador facilitar su móvil personal para recibir SMS de autenticación o acceder a aplicaciones. Si la empresa requiere doble factor de autenticación, debe facilitar las herramientas corporativas para ello.
Asimismo, agregaron que el consentimiento no es una base válida en este contexto laboral si no se ofrece una alternativa real que no implique el uso de datos propios del trabajador. A lo que se suma que ignoraron la advertencia previa del propio delegado de la empresa.
Por todo ello, la Agencia Española de Protección de Datos consideró los hechos constitutivos de una infracción tipificada en el artículo 83.5 del RGPD. Se tuvieron en cuenta como agravantes la naturaleza y gravedad de la infracción (afectando a más de 200 trabajadores), la duración de la misma y la negligencia, al no haber atendido las advertencias internas del delegado ni los requerimientos sindicales previos.
En consecuencia, le impusieron una multa de 80.000 euros, si bien la sanción final abonada por la empresa fue de 48.000 euros debido a dos reducciones, una por el pago voluntario de la sanción y otra por el reconocimiento de su responsabilidad. Además del pago de la sanción, la agencia ordenó a la empresa subsanar la situación, dándoles un plazo de 3 meses para cesar el tratamiento ilícito, prohibiéndoles usar los móviles personales de los empleados como terminales de acceso a la aplicación informática del cliente.
