* AEPD Resol PS/00456/2025 <analisisdenovedades.com/novedad-juridico/se-puede-imponer-el-uso-del-movil-personal-para-acceder-a-las-aplicaciones-de-una-empresa-cliente/>
El uso del teléfono móvil personal del trabajador como sistema de verificación imprescindible para iniciar la sesión en los sistemas informáticos de una empresa cliente, que es extranjera, vulnera su derecho fundamental a la privacidad y a la protección de datos personales e infringe el principio de ajenidad en los medios propio de la relación laboral.
* *
Uso del teléfono móvil personal del trabajador para acceder a las aplicaciones de una empresa cliente
Una empleadora presta servicios de contact center para una empresa cliente extranjera radicada fuera del Espacio Económico Europeo. Ante la falta de teléfonos corporativos, solicita a sus trabajadores su número de teléfono móvil personal y su fecha de nacimiento. Posteriormente, les informa que en ese número de teléfono van a recibir, temporalmente, las contraseñas necesarias para acceder a las aplicaciones del cliente, que insiste en la imposibilidad de remitir las credenciales por correo corporativo como alternativa. La empleadora no facilita a los trabajadores ningún documento que acredite la finalidad de la comunicación de sus datos ni consta una autorización expresa para su cesión.
Esta actuación no está amparada por la normativa laboral ni por la normativa de protección de datos, por los siguientes motivos:
1. El principio de ajenidad en los medios propio de la relación laboral implica que la empresa debe proporcionar los medios necesarios para la prestación de servicios, dentro del ámbito de su organización y dirección. En consecuencia, el uso del teléfono personal no puede considerarse necesario para la ejecución de la relación laboral, y el consentimiento tampoco constituye una base válida si no se ofrece al trabajador una alternativa que no implique el tratamiento de sus datos personales (ET art.1.1). 2. El número de teléfono del trabajador es un dato personal que pertenece a su esfera privada y su cesión a un cliente extranjero no es objetivamente necesaria ni proporcional para cumplir las obligaciones laborales, especialmente cuando la propia empresa reconoce que es una medida provisional motivada por razones organizativas internas (RGPD art.6.1.b).
El requisito de necesidad del tratamiento que contempla la normativa de protección de datos para ejecutar un contrato requiere un análisis fáctico orientado al objetivo perseguido y a la existencia de alternativas menos intrusivas: si estas existen, el tratamiento no puede considerarse necesario. En consecuencia, no ampara tratamientos útiles, pero que no son objetivamente indispensables para ejecutar el servicio contratado.
Por otra parte, el uso de terminales y líneas móviles personales del trabajador con fines laborales exige, en su caso, una aceptación libre y voluntaria del titular, que es cuestionable si no se ha ofrecido previamente una alternativa efectiva. En todo caso, el empleador, como responsable del tratamiento, debe garantizar que las aplicaciones corporativas no acceden a datos privados del empleado y que existe separación técnica entre el uso personal y el laboral del dispositivo.
No concurre ninguna de estas circunstancias, por lo que se le sanciona con multa de 80.000 € -que finalmente se reduce a 48.000 € por reconocimiento de responsabilidad y pago voluntario-, además de la obligación de cesar en el uso de los teléfonos móviles de los trabajadores para acceder a la aplicación informática de la empresa cliente, en el plazo máximo de 3 meses.
El uso del teléfono móvil personal del trabajador como sistema de verificación imprescindible para iniciar la sesión en los sistemas informáticos de una empresa cliente, que es extranjera, vulnera su derecho fundamental a la privacidad y a la protección de datos personales e infringe el principio de ajenidad en los medios propio de la relación laboral.
* *
Uso del teléfono móvil personal del trabajador para acceder a las aplicaciones de una empresa cliente
Una empleadora presta servicios de contact center para una empresa cliente extranjera radicada fuera del Espacio Económico Europeo. Ante la falta de teléfonos corporativos, solicita a sus trabajadores su número de teléfono móvil personal y su fecha de nacimiento. Posteriormente, les informa que en ese número de teléfono van a recibir, temporalmente, las contraseñas necesarias para acceder a las aplicaciones del cliente, que insiste en la imposibilidad de remitir las credenciales por correo corporativo como alternativa. La empleadora no facilita a los trabajadores ningún documento que acredite la finalidad de la comunicación de sus datos ni consta una autorización expresa para su cesión.
Esta actuación no está amparada por la normativa laboral ni por la normativa de protección de datos, por los siguientes motivos:
1. El principio de ajenidad en los medios propio de la relación laboral implica que la empresa debe proporcionar los medios necesarios para la prestación de servicios, dentro del ámbito de su organización y dirección. En consecuencia, el uso del teléfono personal no puede considerarse necesario para la ejecución de la relación laboral, y el consentimiento tampoco constituye una base válida si no se ofrece al trabajador una alternativa que no implique el tratamiento de sus datos personales (ET art.1.1). 2. El número de teléfono del trabajador es un dato personal que pertenece a su esfera privada y su cesión a un cliente extranjero no es objetivamente necesaria ni proporcional para cumplir las obligaciones laborales, especialmente cuando la propia empresa reconoce que es una medida provisional motivada por razones organizativas internas (RGPD art.6.1.b).
El requisito de necesidad del tratamiento que contempla la normativa de protección de datos para ejecutar un contrato requiere un análisis fáctico orientado al objetivo perseguido y a la existencia de alternativas menos intrusivas: si estas existen, el tratamiento no puede considerarse necesario. En consecuencia, no ampara tratamientos útiles, pero que no son objetivamente indispensables para ejecutar el servicio contratado.
Por otra parte, el uso de terminales y líneas móviles personales del trabajador con fines laborales exige, en su caso, una aceptación libre y voluntaria del titular, que es cuestionable si no se ha ofrecido previamente una alternativa efectiva. En todo caso, el empleador, como responsable del tratamiento, debe garantizar que las aplicaciones corporativas no acceden a datos privados del empleado y que existe separación técnica entre el uso personal y el laboral del dispositivo.
No concurre ninguna de estas circunstancias, por lo que se le sanciona con multa de 80.000 € -que finalmente se reduce a 48.000 € por reconocimiento de responsabilidad y pago voluntario-, además de la obligación de cesar en el uso de los teléfonos móviles de los trabajadores para acceder a la aplicación informática de la empresa cliente, en el plazo máximo de 3 meses.