SMS, tokens y RGPD: por qué el móvil personal del empleado no puede ser “la solución temporal”

Hay un atajo que se ha normalizado en demasiadas empresas. Si una aplicación exige doble factor de autenticación (2FA), se utiliza el teléfono personal del trabajador para recibir el SMS con el token. “Solo mientras llega la solución definitiva”, dicen. El problema es que ese “mientras” no suspende el RGPD ni convierte un dato personal en un recurso corporativo. Y, de paso, instala una idea peligrosa: que la ciberseguridad puede financiarse con la vida digital de la plantilla.

La Agencia Española de Protección de Datos lo ha recordado con contundencia en una reciente resolución (PS-00456/2025), nacida de una denuncia en un contexto típico de contact center. Una empresa prestaba servicio para un cliente tercero y necesitaba que sus agentes accedieran a una herramienta del cliente gestionada desde China. Para crear usuarios se facilitaron datos personales de los empleados y el acceso se protegía con un token enviado por SMS al móvil del trabajador. En una formación interna se pidió el número de teléfono y la fecha de nacimiento, recogiéndose estos datos en un folio en blanco, sin información sobre el tratamiento ni acreditación de una base legal. De los 364 trabajadores activos, 203 utilizaron su teléfono personal para recibir las credenciales de acceso.

La empresa alegó dos ideas muy habituales. Por un lado, sostuvo que el tratamiento era necesario para ejecutar el contrato laboral. Por otro, defendió que el uso del móvil personal era una solución provisional, pendiente de sustituirse por medios corporativos. Pero ahí está el choque con la realidad jurídica. La AEPD concluye que se vulneró el principio de licitud del artículo 6 del RGPD, ya que no existía una base jurídica válida para tratar y comunicar el teléfono personal con fines de autenticación laboral. En particular, rechaza ampararlo en la ejecución del contrato (artículo 6.1.b RGPD), porque el contrato de trabajo no exige ni justifica la cesión del número de teléfono personal del empleado a un tercero, y menos todavía cuando existen alternativas menos intrusivas, como facilitar medios corporativos.

Esto obliga a tomarse en serio una palabra que se invoca con demasiada alegría: la “necesidad”. La AEPD recuerda que ese requisito debe interpretarse de forma restrictiva y objetiva. Imprescindible no es lo mismo que cómodo, rápido o barato. Si existen opciones viables —por ejemplo, proporcionar teléfonos corporativos o implantar sistemas internos de autenticación— se cae el argumento de que el móvil personal sea “necesario”.

El caso, además, tiene un matiz que desarma la excusa del “no nos dimos cuenta”. El Delegado de Protección de Datos había advertido expresamente de la ilicitud de usar teléfonos personales. Es decir, la organización fue avisada y aun así siguió adelante. Cuando se elige el atajo a sabiendas, lo de “temporal” suena menos a transición y más a externalización del problema. En la práctica, se traduce en que el empleado ponga el medio y asuma la fricción, y parte del riesgo.

En el fondo, esta resolución devuelve al centro una idea laboral clásica que la digitalización intenta diluir. Si el trabajo se presta por cuenta ajena, los medios deben ser ajenos. Convertir el móvil privado en llave de acceso corporativa traslada infraestructura al empleado, con costes y efectos colaterales. Entre ellos, la exposición de un dato de la esfera privada; la dependencia de un dispositivo que la empresa no controla; y una frontera cada vez más borrosa entre vida personal y trabajo.

¿Se arregla pidiendo consentimiento? Tampoco. La AEPD lo deja claro: en la relación laboral el consentimiento no suele ser libre si no existe una alternativa real. Si para poder trabajar tienes que dar tu número y usar tu móvil, esa “elección” es más formal que efectiva. Este enfoque, además, no es nuevo. Está alineado con la doctrina general en protección de datos y con una línea

jurisprudencial que insiste en que el desequilibrio propio de la relación laboral impide, en muchos casos, hablar de consentimiento genuinamente voluntario.

Finalmente, la sanción fue de 80.000 euros, reducida a 48.000 por reconocimiento de responsabilidad y pago voluntario. Pero el verdadero impacto no está en la cifra, sino en el aviso. Lo “temporal” suele convertirse en costumbre y, cuando se trata de datos, una costumbre sin base legal acaba siendo un incumplimiento estructural.

La conclusión práctica es sencilla y exigente a la vez. Si una empresa necesita autenticación reforzada, debe diseñarla con medios corporativos, información transparente y una base jurídica sólida. No vale improvisar con un folio en una formación ni convertir el número personal en requisito operativo. El RGPD no impide reforzar la seguridad; lo que impide es hacerlo a costa de los datos personales del empleado.