La AEPD pone coto al “SMS al móvil personal” como doble factor en el trabajo

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

La Agencia Española de Protección de Datos (AEPD) ha vuelto a dejar un mensaje nítido para empresas y departamentos de IT: no es lícito imponer el uso del teléfono móvil personal del trabajador para recibir códigos SMS de doble factor de autenticación (MFA) cuando la organización no proporciona un medio corporativo alternativo. Así se desprende del expediente EXP202406971, que termina con una sanción propuesta de 80.000 € (reducida a 48.000 € por reconocimiento de responsabilidad y pago voluntario) y con una orden expresa de cese de la práctica.

Qué ocurrió y por qué se sanciona

Según los hechos recogidos en el procedimiento, una empresa comunicó a un cliente tercero (con infraestructura y gestión fuera del EEE, mencionándose China) datos identificativos de empleados —incluido el número de teléfono móvil personal— para darles de alta en una herramienta que enviaba por SMS los códigos necesarios para el acceso a sistemas. La propia entidad reconoció que, por no disponer de terminales corporativos, se optó “de forma temporal” por el móvil personal para completar el onboarding y la autenticación.

La AEPD concluye que esa cesión/tratamiento no queda amparado por el artículo 6.1.b) del RGPD (“ejecución de contrato”), porque el uso del número personal no es objetivamente necesario para ejecutar la relación laboral ni proporcional, especialmente si existen alternativas menos intrusivas.

Además, el expediente destaca dos elementos especialmente relevantes:

  • Principio de ajenidad en los medios: la empresa debe proveer los medios para trabajar; imponer el dispositivo personal para MFA incumple ese marco y, en el caso analizado, también se enlaza con doctrina judicial y convenio sectorial.
  • Advertencia interna ignorada: consta que el Delegado de Protección de Datos advirtió que el uso de teléfonos personales con fines profesionales era contrario a la normativa, y aun así se mantuvo afectando a más de doscientos empleados.

El dato que muchas empresas pasan por alto: el consentimiento “no arregla” el problema

El documento también enfatiza que el consentimiento del trabajador no es una base válida si no es realmente libre, lo que en el ámbito laboral suele exigir una alternativa real que no suponga perjuicio para la persona trabajadora. En otras palabras: si la empresa no ofrece un método corporativo equivalente, el “consentimiento” queda contaminado por el desequilibrio de la relación.

Cifras y medidas: impacto y obligación de corrección

En el caso analizado, se señala que, de 364 personas activas en el servicio, 203 tenían asociado su teléfono personal para este fin. La AEPD fija una sanción inicial de 80.000 € y, tras la terminación por pago voluntario y reconocimiento, la cuantía efectiva queda en 48.000 €.

En paralelo, la resolución prevé medidas correctivas: en un plazo máximo de 3 meses desde la firmeza, la entidad debe cesar en el tratamiento consistente en usar los móviles personales como terminales de acceso/MFA para la aplicación del cliente.

Implicaciones prácticas para IT, RR. HH. y cumplimiento

Para organizaciones con MFA basado en SMS, el mensaje operativo es directo:

  • Si el MFA depende de un “algo que tienes”, ese “algo” debe ser corporativo (móvil de empresa, token físico, llave FIDO2, etc.) o, como excepción, personal solo si existe alternativa y la elección es voluntaria.
  • Evitar la dependencia de SMS cuando se pueda: aunque aquí el debate es jurídico-laboral y de protección de datos, a nivel de seguridad también es un factor de riesgo (SIM swapping, interceptación, etc.).
  • Documentar la decisión (análisis de alternativas menos intrusivas, evaluación de riesgos, y evidencia de que se proporciona un medio corporativo).
  • Separación técnica si se plantean escenarios BYOD: si se autoriza el uso de dispositivo personal, la organización debe poder demostrar compartimentación y que apps corporativas no acceden a datos privados, además de la voluntariedad real.

Preguntas frecuentes

¿Puede una empresa obligar a recibir el MFA por SMS en el móvil personal?
En el criterio reflejado por la AEPD en este expediente, no: no es necesario ni proporcional para la relación laboral si no se aporta un medio corporativo alternativo.

¿Basta con que el empleado “acepte” o firme un consentimiento?
No necesariamente. En el ámbito laboral, el consentimiento suele no considerarse libre si no hay alternativa real sin perjuicio para el trabajador.

¿Qué debe hacer la empresa si el cliente exige MFA por SMS y no admite correo corporativo?
A efectos prácticos, dotar de terminal/SIM corporativos o implantar un método equivalente (tokens, llaves, app en dispositivo corporativo), y documentar el cambio para demostrar cumplimiento.

¿Cuál fue la sanción en este caso?
La sanción propuesta fue 80.000 €, quedando en 48.000 € tras aplicar reducciones por reconocimiento y pago voluntario, además de imponer medidas para cesar el uso del teléfono personal como MFA.

vía: AEPD

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram
Etiquetas: , , , ,

Fernando Pizarro Casas

Como abogado digital me gusta compartir información de interés online.

TE PUEDE INTERESAR…