Un directivo convierte el móvil de sus empleados en código de acceso al sistema y recibe una multa de 80.000 €: “Principio de ajenidad”

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 80.000 euros a una empresa por convertir el teléfono móvil personal de sus empleados en una herramienta clave para acceder a los sistemas informáticos de una empresa cliente. Según se informa en Confilegal, la resolución deja claro que los datos personales están protegidos y que las compañías no pueden usar los recursos privados de sus trabajadores como si fuesen propios, incluido en el trabajo.

Este caso se remonta a enero de 2024, cuando la empresa comunicó a su plantilla que empezaría a prestar servicios a una segunda compañía. El contrato mercantil firmado entre ambas incluía la cesión de determinados datos personales de empleados o representantes para poder ejecutar el servicio. A partir de ahí, se implantó un sistema de doble autenticación para acceder a los sistemas informáticos de la empresa cliente. Durante una formación previa, la empresa pidió a los trabajadores que facilitaran su número de teléfono móvil y su fecha de nacimiento. La recogida de esos datos se hizo de manera muy simple: en un folio en blanco en el que cada trabajador anotó su información personal. Tiempo después, esos teléfonos se utilizaron para enviar códigos y credenciales para acceder a los sistemas de trabajo.

• Te puede interesar: Le multan en Madrid por saltarse un semáforo en rojo: acude a los tribunales y consigue anular la sanción por ‘falta de pruebas’.

La Agencia recurrió al a veces olvidado “Principio de ajenidad”

Una empleada denunció la situación ante la AEPD al considerar que nunca había dado permiso para que su móvil personal se usara con esos fines. A raíz de la denuncia, la Agencia abrió una investigación para analizar si existía una cesión indebida de datos entre empresas y si el tratamiento era conforma al Reglamento General de Protección de Datos (RGPD). En su defensa, la empresa explicó que el sistema de acceso de la compañía cliente exigía registrar previamente a los empleados y que el teléfono móvil era el medio elegido para enviar las credenciales. Como no todos los trabajadores tenían un teléfono profesional, se optó por utilizar los móviles personales temporalmente.

La AEPD rechazó este argumento y recordó el llamado “Principio de ajenidad”, el cual defiende que es la empresa la que debe proporcionar los medios necesarios para que el trabajador pueda desarrollar su labor. El teléfono móvil personal es un dato y un recurso privado, y su uso no puede imponerse si no es imprescindible ni si no se ofrece una alternativa que no implique tratar datos personales. La Agencia también destaca que el consentimiento del empleado no es válido cuando no existe una opción real de negarse sin consecuencias. En este caso, al no facilitarse alternativas, se vulneró el artículo 6 del RGPD, que exige una base legal clara para tratar datos personales.

Aunque la multa inicial fue de 80.000 euros, la compañía se benefició de las reducciones previstas por la ley al pagar voluntariamente y reconocer su responsabilidad, lo que dejó la sanción definitiva en 48.000 euros. Esta resolución sirve como aviso para otras empresas: las soluciones rápidas o provisionales no justifican el uso indebido de los datos personales de los empleados.

¡Tus opiniones importan! Comenta en los artículos y suscríbete gratis a nuestra newsletter y a las alertas informativas en la App o el canal de WhatsApp. ¿Buscas licenciar contenido? Haz clic aquí