Introducción
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 80.000 euros a una empresa por utilizar el número de teléfono personal de sus empleados como mecanismo de autenticación para acceder a sus sistemas corporativos, sin contar con el consentimiento expreso de los afectados ni ofrecer alternativas razonables. El caso pone en primer plano la importancia de respetar los principios de minimización y licitud en el tratamiento de datos personales en el ámbito laboral.
¿Qué hizo la empresa?
La entidad implantó un sistema de acceso a su red interna mediante doble verificación por SMS, enviando un código de seguridad al teléfono móvil del trabajador. Para ello, utilizó los números personales de los empleados sin solicitar autorización ni proporcionar dispositivos corporativos alternativos.
Varios trabajadores denunciaron que se invadía su privacidad y se utilizaban datos personales para fines empresariales sin base legal válida, generando una cesión forzosa de un dato ajeno al entorno laboral.
Resolución de la AEPD
La Agencia considera que la empresa vulneró el principio de licitud del tratamiento (art. 6 del RGPD), ya que:
✅ No existía consentimiento válido para el uso del dato.
✅ No se justificó que el uso del teléfono personal fuera necesario y proporcional.
✅ No se ofreció una alternativa razonable, como un teléfono corporativo, para garantizar el acceso al sistema.
Además, la AEPD recuerda que el hecho de que un trabajador facilite un número de contacto no implica autorización para usarlo en cualquier contexto, y que el interés legítimo del empleador debe ser ponderado frente a los derechos del trabajador.
Principios vulnerados
La resolución destaca la infracción de varios principios clave del Reglamento General de Protección de Datos (RGPD):
- Licitud del tratamiento: No puede exigirse al trabajador el uso de datos personales sin una base legal clara.
- Minimización de datos: Solo deben tratarse los estrictamente necesarios.
- Proporcionalidad: La medida no puede implicar una carga desproporcionada o una injerencia injustificada en la vida privada del empleado.
Consecuencias para la empresa
Además de la multa económica, la AEPD exige:
- Que se modifique el sistema de acceso para garantizar una alternativa sin necesidad de utilizar el teléfono personal del trabajador.
- Que se refuerce la información previa y el consentimiento en caso de tratamiento de datos personales.
Conclusión
Este caso demuestra que el control empresarial en el entorno digital tiene límites, especialmente cuando se trata de datos personales de los trabajadores. Las empresas deben implantar sus sistemas tecnológicos cumpliendo el RGPD, garantizando siempre el respeto a la intimidad y los derechos fundamentales del empleado.
En Luis Ferrer Abogado asesoramos a empresas y trabajadores en materia de protección de datos, derechos digitales y compliance laboral, ayudando a prevenir sanciones y conflictos legales.
¿Tu empresa trata tus datos sin consentimiento?
¿Eres empleador y quieres asegurarte de cumplir la normativa de protección de datos?
Contáctanos en www.luisferrer.abogado