La AEPD confirma sanción de 48.000 euros por usar el móvil personal de de trabajadores como doble factor de autenticación en el entorno laboral

La Resolución PS-00456-2025, de 3 de diciembre de 2025, de la Agencia Española de Protección de Datos (AEPD) ha declarado la terminación del procedimiento sancionador EXP202406971 contra MAJOREL SP SOLUTIONS, S.A. tras el reconocimiento de responsabilidad y el pago voluntario de una sanción que queda definitivamente fijada en 48.000 euros.

Sanción rebajada a 48.000 euros por reconocimiento y pronto pago

En el acuerdo de inicio del procedimiento, la AEPD propuso una multa de 80.000 euros por vulneración del artículo 6.1.b) RGPD, al considerar ilícita la cesión y el uso del teléfono móvil personal de los trabajadores para fines profesionales, concretamente como sistema de doble factor de autenticación para acceder a las aplicaciones de un cliente.

El acuerdo contemplaba dos reducciones del 20 % cada una, previstas en el artículo 85 de la Ley 39/2015 (LPACAP): una por el reconocimiento de responsabilidad y otra por el pago voluntario de la sanción. Aplicadas ambas reducciones (40 % en total), la cuantía se fijaba en 48.000 euros, importe que la entidad abonó el 19 de noviembre de 2025, lo que ha supuesto la terminación del procedimiento sancionador en vía administrativa.

Uso del teléfono móvil personal como medio obligatorio para trabajar

El caso se origina por la cesión a una empresa cliente de diversos datos de los trabajadores, entre ellos el número de teléfono móvil personal, para crear usuarios en una herramienta de acceso a sistemas corporativos que utiliza un token enviado por SMS como doble factor de autenticación.

Según reconoce la propia entidad en su contestación a la AEPD, al no disponer de teléfonos corporativos para todo el personal, se optó de forma «temporal» por utilizar los teléfonos personales de los agentes para recibir los códigos de acceso. Esta práctica afectaba a 203 de los 364 trabajadores activos en el servicio, cuyos números personales quedaron vinculados a los sistemas del cliente.

La AEPD subraya que esta comunicación de datos no puede ampararse en la base jurídica del artículo 6.1.b) RGPD (ejecución del contrato laboral), ya que el uso del teléfono personal del trabajador no es «necesario» ni proporcionado para la prestación del servicio, existiendo alternativas menos intrusivas, como la provisión de terminales corporativos.

Criterio reiterado: el móvil personal no puede imponerse para fines laborales

En sus fundamentos, la AEPD recuerda que ya había declarado en resoluciones anteriores que es ilegal utilizar el móvil personal como doble factor de autenticación con fines laborales y, en términos generales, que su uso no es posible cuando se impone por la empresa.

Además, incorpora el criterio de la SAN n.º 14/2024, de 5 de febrero de 2024, ECLI:ES:AN:2024:847, que declara contraria al art. 19.7 del III Convenio Colectivo Estatal del Sector de Contact Center la cláusula que obliga a proporcionar el teléfono móvil personal para recibir SMS de autenticación, recordando que es la empresa quien debe facilitar los dispositivos necesarios cuando requiera un sistema de doble factor.

La resolución insiste también en que, en el ámbito laboral, el consentimiento del trabajador no es válido como base jurídica cuando no se le ofrece una vía alternativa real que no implique el tratamiento de sus datos personales, siguiendo las directrices del Comité Europeo de Protección de Datos (Guidelines 2/2017).

Informe del DPD ignorado y obligación de cesar el uso del móvil personal

Un elemento relevante para la graduación de la sanción es que el Delegado de Protección de Datos (DPD) de la entidad había advertido expresamente que el uso de teléfonos personales para fines profesionales era contrario a la normativa de protección de datos. Pese a ello, la empresa mantuvo la práctica al menos hasta mayo de 2025, afectando a más de doscientos trabajadores, y desoyó también los requerimientos previos de las secciones sindicales.

Además de la sanción económica, la AEPD ordena a la entidad que cese en el uso de los teléfonos personales de los empleados como terminal de acceso a las aplicaciones del cliente y que, en el plazo de tres meses desde que la resolución sea firme, acredite ante la Agencia la adopción de las medidas necesarias para ajustar el tratamiento a la normativa.

Frontera entre los medios personales del trabajador y los medios que la empresa está obligada a proporcionar para el desempeño de la actividad laboral

La resolución refuerza un criterio ya consolidado: no es lícito exigir a los trabajadores el uso de su móvil personal para fines laborales (incluido el acceso seguro a sistemas internos), salvo que exista una alternativa corporativa real y que cualquier uso del dispositivo personal sea verdaderamente voluntario y revocable sin consecuencias.

Para empresas, despachos y departamentos de recursos humanos, el caso subraya la necesidad de:

• Evaluar todos los sistemas de acceso con doble factor de autenticación y asegurarse de que se apoyan en dispositivos o canales facilitados por la empresa, no en el móvil particular del trabajador, salvo opción alternativa efectiva.
• Revisar políticas internas, acuerdos de trabajo a distancia y cláusulas de seguridad que prevean el uso de dispositivos personales, adaptándolas a la doctrina de la AEPD y a la jurisprudencia social citada.
• Atender los informes del DPD y las advertencias sindicales sobre tratamientos de datos en el ámbito laboral, pues su desatención puede agravar la responsabilidad y el importe sancionador.

En definitiva, la resolución consolida la línea de la AEPD en materia de protección de datos en el trabajo y sitúa en el centro del debate la frontera entre los medios personales del trabajador y los medios que la empresa está obligada a proporcionar para el desempeño de la actividad laboral.