En muchas empresas, la autenticación en dos pasos se ha convertido en la norma. No solo hay que introducir usuario y contraseña: también se exige un código adicional (por SMS, llamada o app) para acceder a herramientas internas. La intención es buena —reducir el riesgo de intrusiones—, pero la ejecución puede chocar de frente con otro principio igual de básico: la vida privada del trabajador no es una extensión automática del puesto de trabajo.
Eso es, precisamente, lo que vuelve a subrayar una resolución de la Agencia Española de Protección de Datos (AEPD) relacionada con el uso del teléfono personal del empleado como canal para recibir códigos de doble factor (MFA). La Agencia considera que la empresa no puede justificar ese uso como parte “necesaria” de la relación laboral y sanciona la práctica con una multa que partió de 80.000 euros, aunque se redujo por pago voluntario y reconocimiento de responsabilidad.
Qué se cuestiona: el dato personal y el “coste oculto” del trabajo
En el caso analizado, la organización facilitó a un tercero (en el contexto de acceso a sistemas) números de teléfono personales de trabajadores, junto con otros datos identificativos, para crear usuarios y permitir el acceso mediante MFA. La empresa admitió que, ante la falta de terminales corporativos, optó “de forma temporal” por el móvil personal de los empleados como solución operativa.
El problema no es el doble factor en sí —la AEPD no discute la necesidad de elevar la seguridad—, sino la vía elegida: usar un recurso privado del trabajador para un requisito corporativo, y además compartir ese número con un tercero para habilitar el acceso. En términos prácticos, es trasladar al empleado parte de la infraestructura de seguridad (y su trazabilidad) sin garantizar que sea una decisión libre ni proporcional.
La clave legal: “útil” no significa “necesario”
Uno de los argumentos típicos para justificar estos tratamientos es el artículo 6.1.b del RGPD, el que permite tratar datos cuando es necesario para ejecutar un contrato. Pero la AEPD insiste en un matiz que marca la diferencia: que algo sea útil para la empresa no lo convierte en objetivamente necesario para cumplir el contrato laboral.
Dicho de forma sencilla: una compañía puede necesitar doble factor, pero eso no implica que deba apoyarse en el teléfono personal del trabajador. Si existen alternativas menos intrusivas (y las hay), el tratamiento deja de ser proporcional. Y si no es proporcional, no es lícito.
El consentimiento tampoco lo arregla todo
Cuando cae la base del “contrato”, muchas empresas miran hacia el consentimiento. Pero en el entorno laboral el consentimiento es una figura especialmente delicada: para ser válido debe ser libre, informado y revocable. Y aquí llega el punto crítico que remarca la resolución: tiene que existir una alternativa real.
No vale un “acepta o te quedas sin acceso” ni un “si no aceptas, lo gestionas como puedas”. Si el trabajador no tiene opción equivalente sin sufrir un perjuicio (operativo o profesional), el consentimiento se convierte en una formalidad vacía.
La AEPD también recuerda que, si se usan dispositivos personales en el trabajo, la empresa debe garantizar separaciones técnicas y organizativas que eviten que aplicaciones corporativas accedan a datos privados. En el supuesto analizado, ese marco de garantías no estaba presente.
La advertencia interna agrava el contexto
La resolución recoge además un elemento relevante: constaba que el Delegado de Protección de Datos habría advertido expresamente que el uso de teléfonos personales para fines profesionales era contrario a la normativa. Ese detalle refuerza la idea de que la compañía era consciente del riesgo de ilicitud y, aun así, mantuvo la práctica durante el tiempo necesario para cubrir la operativa.
La sanción y el mensaje de fondo
El procedimiento fijó una multa inicial de 80.000,00 €, que quedó en 48.000,00 € tras las reducciones aplicables por reconocimiento y pago voluntario. Además, se contemplaron medidas correctivas para cesar el uso de teléfonos personales como mecanismo de acceso y acreditar cambios en un plazo determinado.
Más allá de la cifra, el mensaje es claro: la ciberseguridad no puede construirse a costa de diluir derechos laborales y de privacidad. Si una empresa exige un mecanismo de autenticación, debe planificarlo como parte de su infraestructura, con medios corporativos o soluciones que no empujen al trabajador a poner su dispositivo personal al servicio del control de acceso.
Qué pueden hacer las empresas sin invadir el móvil personal
En la práctica, hay alternativas razonables y cada vez más comunes:
- Teléfono/SIM corporativos cuando el factor dependa de SMS o app autenticadora.
- Llaves físicas (FIDO2/WebAuthn) para accesos críticos, sin necesidad de número de teléfono.
- Tokens corporativos o certificados, según el modelo de acceso.
- Acceso condicional y gestión centralizada (por ejemplo, con identidad corporativa y políticas de riesgo), evitando el “parche” del SMS en un móvil privado.
El punto no es elegir una tecnología “perfecta”, sino demostrar que la solución es proporcional, justificada y respetuosa con el trabajador.
Preguntas frecuentes
¿Puede una empresa obligar a recibir códigos MFA en el móvil personal?
No debería imponerse como obligación general. Si se pretende usar el móvil personal, deben existir garantías y una alternativa equivalente que no perjudique al trabajador.
¿Vale la base legal de “ejecución del contrato” para pedir el teléfono personal?
La AEPD considera que no, si el uso del móvil personal no es objetivamente necesario y existen alternativas menos intrusivas.
¿Y si el trabajador firma un consentimiento?
El consentimiento en el ámbito laboral solo es válido si es libre e informado y si hay una alternativa real sin consecuencias negativas por no aceptarlo.
¿Qué alternativa práctica puede implementar una pyme sin disparar costes?
Llaves FIDO2 para accesos sensibles, tokens corporativos o proporcionar un terminal corporativo básico para autenticación son opciones habituales; lo relevante es que el acceso no dependa obligatoriamente del dispositivo personal.
