¿Es lícita la cesión de datos personales de los trabajadores (incluyendo su número de teléfono particular) a una empresa cliente extranjera para la gestión de accesos mediante doble factor de autenticación, basándose en la ejecución del contrato laboral y utilizando los dispositivos privados de la plantilla?
Sentencia de Consulta Vinculante (AEAT, SS) del 03/12/2025 en materia de OTRAS CUESTIONES
¿Te queda alguna duda? Resuélvela al momento
Resumen
La Agencia Española de Protección de Datos (AEPD) finaliza el procedimiento sancionador tras el reconocimiento de responsabilidad y pago voluntario de la empresa, imponiendo una sanción de 48.000 euros (reducida desde los 80.000 euros iniciales). La resolución determina que la comunicación de datos personales de los empleados, específicamente sus números de teléfono privados, a una empresa cliente para generar credenciales de acceso (tokens/doble factor) constituye una infracción grave del artículo 6.1 del RGPD. La Agencia concluye que dicha cesión no puede ampararse en la ejecución del contrato laboral, vulnerando el principio de ajenidad en los medios, y ordena el cese del uso de dispositivos personales para fines corporativos.
Supuesto de hecho
- La empresa, dedicada a la prestación de servicios de contact center, suscribió un contrato con un cliente internacional que requería el uso de una herramienta informática propia.
- Para acceder a dicho sistema mediante doble factor de autenticación, era necesario registrar previamente a los agentes, para lo cual la empresa cedió al cliente diversos datos personales de su plantilla, incluyendo el DNI, nombre, fecha de nacimiento y, crucialmente, el número de teléfono móvil personal.
- Esta medida se adoptó debido a que la empresa no disponía de suficientes teléfonos corporativos para todos los empleados, utilizándose los dispositivos particulares como una "solución temporal".
- Esta práctica se mantuvo a pesar de que el Delegado de Protección de Datos (DPO) había emitido un informe advirtiendo de que el uso de teléfonos personales para fines profesionales era contrario a la normativa.
- Tras la denuncia sindical y el inicio del expediente sancionador, la empresa reconoció su responsabilidad y procedió al pago anticipado de la sanción, comprometiéndose a sustituir los teléfonos personales por corporativos.
Consideraciones jurídicas
- La resolución centra su análisis en la falta de legitimación para el tratamiento de los datos conforme al artículo 6.1.b) del Reglamento General de Protección de Datos (RGPD). La Agencia rechaza la tesis de la empresa de que la cesión de los números de teléfono personales al cliente fuera "necesaria para la ejecución del contrato" laboral o de servicios. El concepto de necesidad debe interpretarse de forma estricta y vinculada a la protección de datos; el hecho de que la cesión resulte útil u organizativamente cómoda para la empresa por carecer de móviles corporativos no la convierte en jurídicamente necesaria. La ejecución de la relación laboral no exige ni justifica intrínsecamente la entrega del teléfono privado del trabajador a una tercera entidad, tratándose de un dato de la esfera privada que no resulta proporcional comunicar para el cumplimiento de obligaciones laborales.
- La argumentación se refuerza invocando el principio de ajenidad en los medios, consagrado en el artículo 1.1 del Estatuto de los Trabajadores, que obliga al empleador a dotar a la plantilla de las herramientas necesarias para su trabajo. La AEPD, apoyándose en las Directrices del Comité Europeo de Protección de Datos y en la jurisprudencia de la Audiencia Nacional (Sentencia 14/2024), sostiene que es ilícito obligar al trabajador a poner sus propios dispositivos a disposición de la empresa para fines de autenticación o ciberseguridad. El consentimiento del trabajador en este contexto no se considera una base válida, ya que no puede entenderse como libre si no se ofrece una alternativa real que no implique el uso de sus datos personales y dispositivos privados.
- Finalmente, se destaca la culpabilidad y negligencia de la empresa, dado que era plenamente consciente de la ilicitud del tratamiento. Existía un informe previo de su propio Delegado de Protección de Datos advirtiendo de la irregularidad de usar teléfonos personales, advertencia que fue ignorada por motivos operativos. Esta actuación confirma que la empresa actuó como responsable del tratamiento decidiendo la comunicación de datos sin base jurídica, vulnerando el principio de licitud del artículo 6.1 del RGPD, lo que justifica la calificación de la infracción y la cuantía de la sanción propuesta antes de las reducciones por pago voluntario.
Conclusión Lexa
La cesión de datos personales de los trabajadores, en particular sus números de teléfono privados, a una empresa cliente para gestionar accesos informáticos (doble factor de autenticación) carece de base jurídica lícita si se fundamenta exclusivamente en la ejecución del contrato. La empresa no puede trasladar a la plantilla la carga de aportar sus dispositivos personales para fines laborales, contraviniendo el principio de ajenidad en los medios. Para que dicho tratamiento fuera lícito, sería necesario un consentimiento libre (que exige ofrecer una alternativa corporativa) o el uso exclusivo de teléfonos de empresa, siendo sancionable la imposición del uso de recursos privados para garantizar la seguridad de los sistemas del cliente.