Esta alerta es de suma importancia para el área o persona responsable de TI de tu organización que configura y gestiona los controles de acceso a los sistemas de información.
Tenemos una reciente y relevante resolución de diciembre de la Agencia Española de Protección de Datos (AEPD) que impacta directamente en las políticas de seguridad y medios tecnológicos de las organizaciones.
La AEPD ha sancionado con 80.000 euros (reducida a 48.000 euros por pago voluntario) a una empresa por ceder los números de teléfono personales de sus empleados a un cliente para gestionar los accesos informáticos a los sistemas y utilizar dispositivos personales para habilitar el uso de 2FA para el acceso a los sistemas corporativos.
A continuación, resumimos las claves de la sanción y las lecciones para evitar riesgos en tu organización:
- Seguridad vs. Privacidad:
- La empresa del call center subcontratada necesitaba que su personal accediera a los sistemas informáticos de su cliente.
- Por motivos de ciberseguridad, el cliente exigía un doble factor de autenticación (2FA) mediante el envío de un SMS con un token o contraseña a un dispositivo móvil.
- Al no disponer de teléfonos corporativos, la empresa subcontratada decidió comunicar los números de teléfono personales de su personal a la empresa cliente para que pudieran recibir dichos SMS y acceder a los sistemas de información.
Por qué ha sido sancionada la empresa:
- La empresa alegó que el tratamiento era "necesario para la ejecución del contrato" laboral (Art. 6.1.b RGPD) y vital para la seguridad. Sin embargo, la AEPD desmontó este argumento basándose en tres pilares:
- Principio de Ajenidad en los Medios: Según el Estatuto de los Trabajadores, es la empresa la obligada a dotar a la plantilla de los medios necesarios para trabajar. La AEPD establece que "la ejecución del contrato laboral no exige ni justifica la cesión del número de teléfono personal".
- Ilicitud de la cesión: Al ser obligación de la empresa facilitar un medio corporativo (móvil o token físico), la cesión del número privado del empleado a un tercero no es "necesaria", sino una medida organizativa que invade la esfera privada del trabajador.
- El consentimiento no es válido si es forzoso: La jurisprudencia de la Audiencia Nacional y la AEPD señalan que el uso del dispositivo personal solo es válido si es voluntario y si existe una alternativa real proporcionada por la empresa. Si el trabajador no tiene opción, no hay libertad.
Factor Agravante: Ignorar al DPO:
Es importante destacar que el propio Delegado de Protección de Datos (DPD) de la empresa sancionada había emitido un informe advirtiendo que esta práctica era contraria a la normativa. La empresa, pese a conocer el riesgo, mantuvo el procedimiento, lo que demuestra la importancia de atender a los informes de cumplimiento interno.
Recomendaciones para vuestra organización:
- Revisar los protocolos de acceso a los sistemas.
- Evitar el uso obligatorio de dispositivos personales: No se puede obligar al personal a utilizar sus teléfonos particulares para fines laborales, incluida la recepción de SMS para la doble autenticación (2FA). Si el uso está basado en el consentimiento, tiene que existir una alternativa real al uso de sus dispositivos personales para que ese consentimiento sea libre.
- Proporcionar alternativas corporativas: para la autenticación de doble factor, la empresa debe suministrar el medio: un teléfono corporativo, una tarjeta SIM de empresa o un token físico de seguridad.
- Obviamente, no ceder nunca datos privados sin base legal: Comunicar datos de contacto personales (como el móvil privado) a proveedores o clientes externos para crear usuarios informáticos es una infracción grave si no es estrictamente necesario. Lo mismo puede ocurrir si estas cesiones se producen dentro de áreas internas.
La resolución completa puede consultarse en este enlace.
Redactado por Elena, a fecha 22 de enero de 2025.