El teléfono personal del trabajador no es un recurso corporativo - Dataplus consulting
+34 609 38 72 02

El teléfono personal del trabajador no es un recurso corporativo

11 Feb 2026 El teléfono personal del trabajador no es un recurso corporativo

Posted at 19:53h in Sin categoría by

La AEPD sanciona el uso del teléfono móvil personal del trabajador como doble factor de autenticación cuando no existe una base jurídica válida.

En el ámbito laboral seguimos encontrándonos con prácticas que, pese a estar extendidas, no superan un análisis riguroso desde la óptica del RGPD. Una reciente resolución de la Agencia Española de Protección de Datos vuelve a poner el foco en una cuestión especialmente sensible: la utilización del teléfono móvil personal del trabajador como herramienta para la autenticación en sistemas corporativos o de clientes.

En el caso analizado, la empresa comunicó a un tercero distintos datos identificativos de sus empleados, incluido su número de teléfono personal, con la finalidad de habilitar el acceso a herramientas mediante doble factor de autenticación (envío de códigos por SMS). 

La AEPD recuerda que el concepto de 'necesidad' no puede equipararse a conveniencia o utilidad.
Para que opere esta base jurídica, el tratamiento debe ser objetivamente imprescindible para cumplir el contrato, y no existir alternativas menos intrusivas. En este caso, la empresa podía proporcionar dispositivos corporativos, lo que desvirtúa la alegación de necesidad.

La organización defendió que el tratamiento estaba amparado en el artículo 6.1.b) del RGPD, es decir, que era necesario para la ejecución del contrato laboral. Sin embargo, la AEPD rechaza esta interpretación y recuerda que el concepto de “necesidad” no puede equipararse a conveniencia o utilidad. Para que opere esta base jurídica, el tratamiento debe ser objetivamente imprescindible para cumplir el contrato, y no existir alternativas menos intrusivas. En este caso, la empresa podía proporcionar dispositivos corporativos, lo que desvirtúa la alegación de necesidad.

La resolución también incide en el desequilibrio propio de la relación laboral. El consentimiento del trabajador difícilmente puede considerarse libre si no se ofrece una alternativa real y sin consecuencias. El uso de dispositivos personales exige voluntariedad efectiva, información clara y garantías técnicas que separen el ámbito profesional del privado, extremos que no concurrían en el supuesto analizado.

Como resultado, la Agencia calificó la conducta como infracción muy grave del artículo 6 del RGPD, imponiendo una sanción económica. 

La enseñanza es clara, reforzar la seguridad mediante sistemas de autenticación multifactor es legítimo y recomendable, pero no puede hacerse trasladando al trabajador la carga de aportar sus propios medios personales. La ejecución del contrato laboral no legitima cualquier tratamiento, y menos cuando afecta a la esfera privada del empleado.

Las organizaciones deberían revisar sus políticas de BYOD, sus sistemas de doble factor de autenticación y, sobre todo, la base jurídica en la que sustentan determinados tratamientos en el entorno laboral. La responsabilidad proactiva exige anticiparse a este tipo de riesgos. 



TEST RGPD

¿Quieres saber si tu web cumple con la LOPD y RGPD? 

Rellena nuestro formulario y descubre si tu web necesita una adaptación LOPD y cumplir los requisitos legales. 

ACCEDER AL TEST