¿Qué ocurre si la medida es de carácter temporal y provisional?
Una reciente resolución de la Agencia Española de Protección de Datos (AEPD) aclara si es legal remitir SMS con códigos de autenticación a los móviles personales de los trabajadores con fines laborales.
En el caso que nos ocupa, la empresa A cedió a la empresa B los números móviles de sus empleados para que éstos accedieran a las aplicaciones informáticas de la empresa B. La empresa A, al no contar con teléfonos móviles corporativos, decidió que, de forma temporal, se vincularan los móviles personales de sus trabajadores para recibir los códigos de acceso.
También hay que señalar que el Delegado de Protección de Datos de la empresa advirtió que se trataba de una medida contraria a la normativa de la Protección de Datos y, por lo tanto, constitutiva de infracción. Aún así, la empresa decidió llevar a cabo esta “medida provisional”.
Se trata de una cuestión controvertida en la que la AEPD se ha pronunciado de forma clara. Veremos a continuación lo más relevante de la resolución de la AEPD PS-00456-2025.
Doble factor autenticación móvil personal
Medida provisional adoptada por motivos organizativos internos
La AEPD no pone en duda que el doble factor de autenticación es un procedimiento que garantiza la seguridad en las comunicaciones informáticas. No obstante, emplear este mecanismo a través de los móviles personales de los trabajadores es otra cuestión bien distinta. La empresa no puede imponer el uso del móvil personal para fines laborales. Es más, para que esta medida pudiera estar justificada tendrían que darse las siguientes circunstancias:
- Elección libre y voluntaria.
- Ofrecer una opción alternativa.
- Recibir información sobre el tratamiento de los datos personales.
En el presente caso ninguna de las circunstancias anteriores se produjo. Los trabajadores no fueron informados sobre el consentimiento para transferir sus datos personales a otra empresa. Tampoco firmaron una solicitud de autorización expresa para ceder sus datos. La medida provisional fue impuesta por la empresa sin ofrecer a los empleados una vía alternativa menos intrusiva.
Así mismo, la empresa fue consciente, en todo momento, de la ilicitud de la medida adoptada.
Doble factor autenticación móvil personal
Sanciones y medidas correctivas
En la graduación de la sanción a imponer se tuvo en cuenta, entre otras, la concurrencia de las siguientes circunstancias:
- Negligencia e intencionalidad: La empresa era consciente de que estaba cometiendo una infracción y, aún así, prosiguió con su cometido.
- Los datos de carácter personal afectados por la infracción (número móvil, DNI, nombre, fecha de nacimiento, nacionalidad, etc)
- Duración de la infracción.
- Número de trabajadores afectados.
Atendiendo a las circunstancias anteriores, la AEPD fijó la multa en 80.000€ y las siguientes medidas correctivas:
- Cesar en el tratamiento de datos personales de sus trabajadores.
- Adoptar las medidas organizativas y técnicas necesarias en un plazo máximo de 3 meses.
En consecuencia, ante las medidas correctivas impuestas, la empresa manifestó que ya estaba en proceso de dotar a sus trabajadores de móviles y SIMs corporativos.
Finalmente, la sanción se redujo a 48.000€ por reconocimiento de responsabilidad (20%) y por pago voluntario (20%).
Artículo relacionado
MCle Asesores Laborales y Tributarios S.L.
Somos tu gestoría y asesoría laboral online de confianza
