“Te pedimos el móvil solo para enviarte un código” … y acabó siendo la llave obligatoria para trabajar. Este es el ejemplo perfecto en el que podemos observar cómo una mala gestión del BYOD puede terminar en una sanción de la AEPD.
- BYOD: cuando la flexibilidad roza la infracción.
Seguir el procedimiento BYOD (Bring Your Own Device – trae tu propio dispositivo) asegura una flexibilidad, ahorro de costes y aumenta la comodidad de los empleados permitiendo el uso de sus propios dispositivos. En la práctica se traduce en que el trabajador usa su dispositivo personal para poder ejecutar aplicaciones/herramientas corporativas tales como el correo corporativo, sistemas de gestión de clientes, entre otros.
Cuando el BYOD está bien formulado aporta unas ventajas para todos: menos inversión en hardware disminuyendo así costes y dando más comodidad al empleado. Sin embargo, el problema puede surgir cuando el dispositivo personal deja de ser opcional y se convierte en un requisito para trabajar.
- Hechos que dieron lugar a la sanción.
La empresa denunciada llevó a cabo una cesión a una empresa cliente de distintos datos de sus trabajadores, entre ellos el número de teléfono móvil personal. La finalidad de esta cesión, era crear usuarios en una herramienta de acceso a sistemas corporativos que utilizaba un token enviado por SMS como doble factor de autenticación.
Si bien, para la empresa denunciada, el uso de un doble factor de autenticación constituía una buena práctica de seguridad, lo cierto es que el número móvil personal de los trabajadores quedaba vinculado a los sistemas del cliente. Aunque la intención respondía a criterios de seguridad, no se valoraron todos los detalles, lo que afectó a los números de teléfono personales de más de 200 trabajadores de los 364 que componen la plantilla.
Además, la empresa cliente estaba situada fuera del Espacio Económico Europeo, lo que implicaba una transferencia internacional de todos esos números. Dicha transferencia se realizó en simples hojas y sin información clara sobre para qué se iban a utilizar los datos ni a quién se iban a ceder, eludiendo así el deber de información que correspondía a la empresa.
Por otro lado, el uso del móvil personal no constituía una alternativa voluntaria, sino que se estableció como canal obligatorio para poder acceder y trabajar con la empresa cliente. En consecuencia, un trabajador que no dispusiera de móvil personal se encontraría con dificultades para desempeñar su trabajo.
Para la Agencia Española de Protección de Datos (AEPD), esta comunicación de datos no puede ampararse en la base jurídica del artículo. 6.1.b) RGPD (ejecución del contrato laboral), al considerar que no se trata de un uso necesario ni proporcionado para la prestación del servicio, especialmente cuando existen alternativas como la provisión de terminales corporativos.
- ¿Por qué la AEPD sanciona? no todo vale en BYOD
Valorando los hechos, la AEPD consideró ilícita la cesión de los números de teléfono y el uso del móvil personal de los trabajadores para fines profesionales, al entender que este tratamiento no encaja en el artículo 6.1.b) RGPD (ejecución del contrato de trabajo).
La autoridad reiteró su criterio, recordando que ya había declarado la ilegalidad de utilizar el móvil personal como doble factor de autenticación con fines laborales cuando su uso es impuesto por la empresa. Es decir, no todo vale bajo políticas de BYOD si no se respetan los principios de necesidad y proporcionalidad.
Además, la AEPD incorporó el criterio de la SAN n.º 14/2024, de 5 de febrero de 2024, ECLI:ES:AN:2024:847, donde se declara que el uso obligatorio de dispositivos personales resulta contrario al artículo 19.7 del III Convenio Colectivo Estatal del Sector de Contact Center.
En esta resolución se recuerda que es la empresa quien debe facilitar los dispositivos necesarios cuando requiera la implantación de un sistema de doble factor de autenticación.
La empresa alegó que el móvil personal era necesario para ejecutar el contrato de trabajo. A lo que la autoridad reconoció que el teléfono privado forma parte de la esfera personal del empleado y que existen alternativas menos intrusivas, como:
- Facilitar teléfonos corporativos.
- Implementar un sistema de autenticación que no implique exponer el número personal.
Asimismo, se cuestionó el incumplimiento del deber de información a los trabajadores sobre el tratamiento de sus datos y su comunicación a un tercero ubicado fuera del Espacio Económico Europeo. Como elemento agravante, la compañía había ignorado las advertencias de su Delegado de Protección de Datos.
El consentimiento tampoco era válido: La resolución insiste en que el consentimiento del trabajador no constituye una base jurídica válida cuando no se ofrece una alternativa real que evite el tratamiento de sus datos personales, en línea con las directrices del Comité Europeo de Protección de Datos..
Si el empleado no tiene una opción libre y efectiva, el consentimiento no puede considerarse válido en el ámbito laboral.
Como resultado, una sanción económica significativa y medidas correctivas. Desde el inicio la AEPD propuso una multa de 80.000€ que fue rebajada por reconocimiento y pronto pago, además, se implantó cesar con esta práctica y posteriormente acreditar el cumplimiento ante la AEPD.
- Lo que este caso nos enseña sobre BYOD
El caso no es un problema “de móviles”, sino de diseño y gobernanza del BYOD. Un programa de BYOD conforme al RGPD debe cumplir, como mínimo, estas premisas:
- Voluntariedad: La empresa debe ofrecer alternativas en caso de que el trabajador se oponga a usar su dispositivo personal.
- Transparencia: Se debe de informar de manera clara, previa y completa sobre el tratamiento de los datos (finalidad, duración, cesión etc).
- Principios de proporcionalidad y minimización: Se utilizarán los datos cuando sea estrictamente necesario y no haya alternativas menos intrusivas.
- Seguridad y control: BYOD ha de estar acompañado de medidas técnicas y organizativas, políticas internas claras y una correcta intervención del Delegado de Protección de Datos.
En el momento en el que se ignoran estas premisas, BYOD deja de ser un modelo “amigo” y pasa a convertirse en una fuente de riesgos legales, de conflictividad laboral y de sanciones.
- Cómo debería plantearse un BYOD “sano”
A la luz de esta resolución, una empresa que quiera implantar BYOD debería:
- Aprobar y ejecutar correctamente la política de BYOD delimitando qué se pide al empleado y qué no.
- Ofrecer una alternativa para aquellos que no quieran hacer uso de su dispositivo personal, sin estigmas ni consecuencias negativas.
- No utilizar únicamente el número personal del empleado como medio de autenticación y en caso de utilizarlo que exista una justificación con información y garantías.
- Documentar las decisiones incluyendo evaluaciones de impacto, análisis de proporcionalidad, informes del DPD.
Al final, el presente caso demuestra que BYOD no es solo permitir que los empleados usen su propio dispositivo, es una decisión estratégica que afecta a derechos fundamentales y que exige un diseño cuidadoso.
Si quieres más información sobre menores y protección de datos puedes visitar otras entradas de nuestro blog pinchado aquí y aquí.
