Experto RRHH
Lefebvre

portal experto RRHH

La solución para expertos en gestión de personas

novedades

28/04/2025
¿Puede la empresa convertir el móvil personal del trabajador en una herramienta más de trabajo enviándole mensajes con datos de clientes?

Con independencia del consentimiento del trabajador para utilizar su móvil personal como herramienta de trabajo y del hecho de que el envío de mensajes a su Whatsapp se produzca dentro o fuera del horario laboral, la empresa, como responsable del tratamiento de datos, está obligada a adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales. Esta seguridad no existe cuando se envían datos personales de clientes al dispositivo personal del trabajador, ya que puede carecer de las medidas de seguridad apropiadas en su dispositivo privado. Además, una vez finalizada la relación laboral, la empresa ha de contar con consentimiento del trabajador para seguir contactando con él.

El trabajador presenta reclamación ante la Agencia Española de Protección de Datos (AEPD). El motivo es el envío por parte de la empresa de datos personales de clientes a su WhatsApp personal, sin su consentimiento y fuera del horario laboral. El trabajador indica que había advertido en varias ocasiones a la empresa que no autorizaba el uso de su teléfono personal como herramienta de trabajo. Incluso después de haber finalizado su relación laboral, la empresa le realizó por este medio una consulta relativa la gestión contable de un cliente. Como prueba aporta capturas de pantalla de conversaciones de WhatsApp y diversos mensajes de correo electrónico.

La empresa alega que el uso de WhatsApp es una práctica habitual y consentida por los trabajadores desde hace décadas, sin embargo, no aporta pruebas de ello. También niega haber vulnerado la normativa de protección de datos y afirma que las comunicaciones no se han realizado fuera del horario laboral, ni se ha solicitado al trabajador que contactara con clientes desde su dispositivo personal.

La AEPD sanciona a la empresa tanto por hechos ocurridos durante la relación laboral como por hechos ocurridos una vez finalizada la relación laboral, con base a los siguientes argumentos:

  1. El tratamiento de datos personales solo es lícito si se cumple alguna de las bases legales previstas, como el consentimiento del interesado o la necesidad del tratamiento para la ejecución de un contrato (RGPD art.6.1). Una vez finalizada la relación laboral no existe un contrato vigente entre las partes cuya ejecución determine la licitud del tratamiento, y la empresa no ha acreditado que contara con el consentimiento del trabajador para contactar con él.
  2. La empresa, como responsable del tratamiento de datos, está obligada a adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales. Sin embargo, no ha implementado medidas para proteger los datos personales de sus clientes, ya que los enviaba al dispositivo personal del trabajador, sin garantizar la confidencialidad ni la seguridad de los datos derivadas de la falta de medidas de seguridad apropiadas en el dispositivo privado (RGPD art.32).

Por todo ello, se sanciona a la empresa tanto por los hechos ocurridos una vez finalizada la relación laboral (contacto con el trabajador sin base jurídica válida) así como por los ocurridos durante la relación laboral (envío de datos personales de clientes al teléfono personal del trabajador sin medidas de seguridad adecuadas), con las siguientes multas:

  • de 2.500 € por la falta de consentimiento (infracción del RGPD art.6.1);
  • de 2.500 € por la falta de medidas de seguridad adecuadas (infracción del RGPD art.32);
  • además, se requiere a la empresa para que adopte medidas correctivas en un plazo de 3 meses para evitar que se contacte con antiguos trabajadores de sin su consentimiento, así como para adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos de sus clientes, sin que sus datos personales puedan ser enviados a dispositivos privados de los trabajadores sin cumplir las exigencias legalmente previstas.

Para graduar la sanción se tiene en cuenta los siguientes factores (RGPD art.83.2 y LOPDGDD art.76):

  • Naturaleza y gravedad de la infracción: el tratamiento indebido de datos personales afecta tanto al trabajador como a los clientes de la empresa.
  • Negligencia grave: la empresa ha sido advertida en varias ocasiones por el trabajador sobre el uso indebido de su teléfono personal, a pesar de lo cual no adoptó medidas correctivas.
  • Vinculación de la actividad con el tratamiento de datos: como empresa que trata datos personales de clientes y trabajadores, debería contar con medidas adecuadas para garantizar la seguridad de los datos.

Resol AEPD PS/00505/2023

acceso a través de email
18/06/2025
La protección de datos personales en la comunicación del despido objetivo a la RLT
17/06/2025
Coincidencia entre el día de descanso semanal y el festivo: ¿puede compensarse con un día adicional de descanso?
16/06/2025
ITSS: Guía de actuación inspectora sobre fenómenos meteorológicos adversos
13/06/2025
La protección de datos en las aplicaciones del Portal del Empleado
12/06/2025
Traslado de centro de trabajo, ¿puede realizarse si el trabajador tiene pendiente un proceso para valorar su discapacidad?
acceso a través de email
11/06/2025
¿Se pueden usar imágenes y vídeos de las redes sociales como prueba para un despido disciplinario?

lo más leído