La autoridad de control ha impuesto a una entidad una sanción de 80.000 euros por infringir el artículo 6.1.b) del RGPD (licitud del tratamiento), siendo reducida la misma a 48.000 euros por cuanto se ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.
Con la finalidad de prestar sus servicios a otra compañía (entre otros, servicios de atención a clientes y contact center), la entidad reclamada solicitó a sus empleados, durante un curso de formación, sus números de teléfono personal a efectos de recibir en dichos números las distintas contraseñas para poder usar los aplicativos del cliente.
En este sentido, se puso de manifiesto por la entidad que, para poder acceder a la aplicación del cliente, los agentes debían identificarse adecuadamente, por lo que se debía “introducir una serie de datos personales de empleados entre los que se incluye su teléfono móvil, que es donde reciben las credenciales a través de un SMS”. En caso contrario, el agente no podía hacer el onboarding de forma correcta y crear el usuario. Como no todos sus agentes disponían de teléfonos corporativos, “como solución temporal se utilizaron los teléfonos personales”.
Así, la compañía cedió esta información a la empresa cliente, sin haber recabado consentimiento alguno de los trabajadores, recibiendo los citados empleados en dichos teléfonos las claves de acceso. Como se ha indicado, esta cesión se fundamentó en que era necesaria para la ejecución del contrato, puesto que, en caso contrario, el empleado no podía prestar adecuadamente sus servicios.
Si bien la representación sindical remitió un correo en el que proponía la posibilidad de utilizar, con la finalidad recibir las claves de acceso, el correo electrónico profesional, en lugar del teléfono personal, la entidad reclamada contestó que ello no era posible, por cuanto el cliente había habilitado el envío de las claves de sus aplicativos exclusivamente a través del teléfono. Asimismo, consultada esta cuestión al DPO de la compañía, este indicó que el uso de teléfonos personales con fines laborales era contrario a la normativa. A pesar de ello, se continuó actuando de este modo. No obstante, la compañía inició un proceso de transición, adquiriendo nuevos móviles y sims para los agentes, retirando todos los teléfonos personales con la finalidad de sustituirlos por profesionales.
La autoridad de control ha declarado en su resolución que los datos personales deben ser tratados de manera leal, lícita y transparente. Así, se indica que el artículo 6.1.b) del RGPD (tratamiento necesario para la ejecución de un contrato) no ampara aquellos tratamientos que, si bien puedan resultar útiles, no sean objetivamente necesarios para prestar el servicio contratado (a estos efectos, se debe evaluar si el tratamiento resulta menos intrusivo que otras opciones que logran el mismo objetivo o si existen otras alternativas realistas que sean también menos intrusivas, puesto que en este caso, dicho tratamiento no sería considerado necesario).
En relación con el uso de teléfonos móviles, se indica en la resolución que el principio de ajenidad de medios obliga a la empresa a facilitar al trabajador los medios que sean necesarios para poder ejecutar la relación laboral. Así, respecto a esta cuestión, la autoridad de control (y la Audiencia Nacional) ya ha declarado en varias resoluciones que “es ilegal utilizar el teléfono móvil personal como doble factor de autenticación […] y en términos generales ha indicado que su uso no es posible con fines laborales”.
Respecto a la cesión del número de teléfono personal realizada por la entidad reclamada, la AEPD declara que no puede fundamentarse en el artículo 6.1.b) del RGPD, puesto que la ejecución del contrato ni la justifica ni la exige. Así, este dato, que pertenece a la esfera privada de los empleados, no es necesario ni proporcional para cumplir adecuadamente con las obligaciones recogidas en el contrato de servicios, sobre todo si tenemos en cuenta que se reconoció por la compañía que era una “medida provisional adoptada por motivos organizativos internos”.
Para que la compañía pudiera haber usado este dato con fines laborales, afirma la AEPD que habría sido necesario (i) obtener un consentimiento voluntario y libre prestado por el titular, (ii) facilitar la información sobre el tratamiento y sobre la posibilidad de revocar el consentimiento (en cualquier momento y sin consecuencias negativas) o (iii) garantizar que las aplicaciones no podrían tener acceso a datos privados, existiendo una separación técnica entre uso profesional y personal del teléfono. Respecto al citado consentimiento, se declara que este podría entenderse libre “si la empresa hubiera dispuesto y ofrecido previamente una opción alternativa”.
No obstante, nada de esto ha sucedido, por lo que la actuación de la compañía ha infringido el artículo citado.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.
