La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 80.000 euros a una empresa por utilizar los teléfonos personales de sus empleados como parte del sistema de doble autenticación para acceder a los sistemas informáticos de una compañía cliente. La resolución vuelve a poner el foco en la protección de datos dentro del ámbito laboral y en los límites que marca la normativa cuando se tratan datos personales de los trabajadores.
El caso se remonta a enero de 2024, cuando la empresa comunicó a su plantilla que comenzaría a prestar servicios para una segunda compañía. En el marco de ese contrato mercantil, se preveía la cesión de determinados datos personales de representantes o empleados para garantizar la correcta ejecución del servicio, una práctica que debe ajustarse estrictamente a las exigencias de la protección de datos.
Teléfonos personales para acceder a los sistemas
Durante el proceso de formación, la empresa solicitó a los trabajadores su número de teléfono personal. La recogida de estos datos se realizó de forma informal, en un folio en blanco en el que los empleados anotaron su número de móvil y su fecha de nacimiento. Estos datos se utilizaron posteriormente para enviar las credenciales de acceso a los sistemas informáticos de la empresa cliente, un tratamiento de protección de datos que no contaba con una base legal suficiente.
Según consta en la investigación de la AEPD, los trabajadores no otorgaron una autorización expresa para que su teléfono personal se utilizara con fines laborales ni se les ofreció una alternativa que evitara ese tratamiento de datos personales. Esta circunstancia fue clave para que la Agencia considerara vulnerada la normativa de protección de datos.
La cesión de datos que activó la investigación
Una de las trabajadoras afectadas trasladó la situación a la AEPD, lo que dio lugar a la apertura de un procedimiento de investigación. La Agencia analizó la cesión de datos entre ambas empresas y el uso del teléfono personal como herramienta de trabajo, evaluando si dicha práctica respetaba los principios básicos de la protección de datos.
En su defensa, la empresa alegó que la compañía cliente contaba con un sistema de autenticación que exigía el registro previo de los trabajadores. Para ello, era necesario incorporar ciertos datos personales, incluido el número de teléfono móvil, donde se recibían las credenciales de acceso. Al no disponer todos los empleados de teléfonos corporativos, se optó por utilizar los dispositivos personales como una solución temporal.
Una práctica contraria a la protección de datos
La AEPD no aceptó esta justificación. De hecho, el propio delegado de protección de datos de la empresa había advertido previamente de que esta práctica no se ajustaba a la normativa vigente. La Agencia recordó que el principio de ajenidad en los medios obliga a la empresa a proporcionar a los trabajadores los recursos necesarios para desempeñar su labor, sin trasladarles la carga de aportar medios personales.
En este contexto, la protección de datos cobra especial relevancia. La AEPD subraya que el consentimiento del trabajador no puede considerarse una base válida cuando no se ofrece una alternativa real que no implique el tratamiento de datos personales. El uso del teléfono personal, por tanto, no puede justificarse como necesario para la ejecución de la relación laboral.
Multa y reducción de la sanción
Como consecuencia de estos hechos, la Agencia Española de Protección de Datos decidió imponer una sanción de 80.000 euros por vulnerar el artículo 6 del Reglamento General de Protección de Datos (RGPD), relativo a la licitud del tratamiento. Una resolución que refuerza la idea de que la protección de datos debe aplicarse con el mismo rigor en el entorno laboral que en cualquier otro ámbito.
No obstante, la empresa logró reducir el importe final de la multa hasta los 48.000 euros. Esta rebaja fue posible gracias a dos mecanismos previstos en la normativa: el pago voluntario de la sanción y el reconocimiento de la responsabilidad. Aun así, la resolución sirve como advertencia clara para las empresas que recurren a soluciones improvisadas sin evaluar su impacto en la protección de datos de los empleados.