logo
mobile logo
05 agosto
0 Comentarios

Empleador sancionado por solicitar el número de móvil de los empleados

Publicado por LLA
En Protección de datos

Una persona presentó una reclamación ante la AEPD contra un Ayuntamiento al considerar que se había producido un tratamiento ilícito de datos personales. La denuncia se basaba en una orden emitida por la jefatura de la policial municipal mediante la cual se solicitaban nombres, apellidos y números de teléfono móvil de los responsables y autorizados de buzones de correo. Esta solicitud se vinculaba con la intención de facilitar tales datos a una empresa tecnológica encargada de servicios informáticos.

El reclamado justificó que la recogida de los datos se efectuó como parte de una acción general dirigida a todo el personal municipal, en el marco de un proceso de modernización tecnológica para garantizar la seguridad de las comunicaciones. Alegó que se trataba de un tratamiento legitimado por el cumplimiento de una misión realizada en interés público y en ejercicio de poderes públicos, y que la empresa en cuestión actuaba como encargada del tratamiento, no como cesionaria de datos.

El reclamado alegó que el teléfono móvil era necesario como mecanismo de verificación en el acceso a los buzones compartidos, mediante el envío de códigos al móvil como parte de un doble factor de autenticación. El reclamado aportó el contrato con la empresa tecnológica responsable del software y argumentó que la necesidad del teléfono derivaba del diseño técnico del sistema, que requería dicha información para implementar mecanismos de seguridad informática.

Sin embargo, durante la instrucción se comprobó que ni la Ley Orgánica de Fuerzas y Cuerpos de Seguridad ni el Reglamento de la Policía Municipal del Ayuntamiento de Madrid contemplaban el uso o la exigencia del número de teléfono móvil como dato necesario para las funciones policiales o administrativas. Asimismo, el contrato suscrito con la empresa tecnológica no establecía la obligatoriedad de utilizar el número de móvil personal para implementar la autenticación.

Aunque se reconoció que el proceso de modernización tecnológica es deseable y necesario, y que el uso de mecanismos de autenticación robusta como el doble factor es una buena práctica en ciberseguridad, la AEPD consideró que la utilización de números de teléfono móvil personales no estaba debidamente amparada por ninguna base jurídica de las previstas en el artículo 6.1 del RGPD. Además, el hecho de que la empresa actuara como encargada del tratamiento no eximía al reclamado de su responsabilidad en determinar una base legitimadora válida para el tratamiento de datos personales.

En este sentido, se destacó que no se trataba de una cuestión de oportunidad o conveniencia técnica, sino de legalidad. El uso de datos personales como el número de móvil, aunque con fines de seguridad informática, exige que exista una base jurídica clara y específica, lo cual no se acreditó en este caso.

Los hechos se enmarcaron en un contexto más amplio de transformación digital de los servicios municipales, pero la AEPD subrayó que dicha transformación no podía implicar un uso indiscriminado de datos personales sin las debidas garantías jurídicas. Se reconoció que existían alternativas técnicas viables al uso del teléfono móvil como segundo factor de autenticación, como certificados digitales, tarjetas criptográficas u otras soluciones que no requerían el tratamiento del dato controvertido.

Desde el punto de vista jurídico, la AEPD centró su análisis en determinar si el tratamiento del número de teléfono móvil tenía una base de licitud conforme al RGPD. En primer lugar, descartó el consentimiento como base válida, ya que la recogida del dato se hizo en el marco de una orden jerárquica interna, sin que mediara una acción voluntaria y libre por parte de los afectados. Tampoco se aplicaban otras bases como la ejecución de un contrato o la protección de intereses vitales.

Las bases que podían ser potencialmente aplicables eran las del cumplimiento de una obligación legal o el cumplimiento de una misión realizada en interés público. Sin embargo, la AEPD concluyó que no existía norma con rango de ley que impusiera al reclamado la obligación de tratar el número de teléfono móvil de los empleados, ni tampoco se justificaba que este tratamiento fuera imprescindible para cumplir con una misión de interés público atribuida legalmente. De hecho, las normas invocadas por el reclamado (como la Ley de Fuerzas y Cuerpos de Seguridad, la LBRL o el Reglamento de Policía Municipal) no mencionaban en ningún caso la necesidad de tratar el número de móvil.

En relación con el encargo del tratamiento a la empresa tecnológica, la AEPD analizó el contrato aportado y constató que sí se habían suscrito los correspondientes acuerdos de encargo, que contaban con el visto bueno del Delegado de Protección de Datos del reclamado y que se seguían las directrices del ENS y del CCN. Se trataba, por tanto, de un encargo de tratamiento formalmente correcto. No obstante, esto no exoneraba al reclamado de su obligación de contar con una base jurídica adecuada para tratar el dato de origen.

El análisis también se extendió al propio diseño del sistema de autenticación. Aunque se consideró que el uso del doble factor es una práctica recomendable y eficaz para garantizar la seguridad de los sistemas informáticos, se recordó que la elección del medio para implementar dicho mecanismo no puede basarse en la facilidad técnica a costa de vulnerar la normativa de protección de datos. En este caso, se utilizó un dato personal (el teléfono móvil) sin base jurídica, cuando existían alternativas técnicas igualmente válidas.

La AEPD, por tanto, concluyó que el tratamiento del número de teléfono móvil de los empleados municipales fue ilícito al no estar amparado por ninguna de las bases legitimadoras previstas en el artículo 6.1 del RGPD. Esta infracción fue considerada una vulneración sustancial de la normativa, al tratarse de datos personales sin base de licitud, y fue tipificada como muy grave conforme al artículo 72.1.b de la LOPDGDD.

No obstante, dado que el reclamado era una administración pública local, le resultaba aplicable el régimen específico del artículo 77 de la LOPDGDD, que establece que las infracciones cometidas por administraciones públicas no se sancionarán con multas económicas, sino con apercibimiento, salvo que concurran circunstancias excepcionales.

Por tanto, la AEPD resolvió imponer al reclamado una sanción de apercibimiento, y le requirió para que, en el plazo de un mes desde la notificación de la resolución, acreditara la adopción de medidas que impidieran que se volviera a producir una situación como la analizada. En concreto, se exigió que se adecuara el tratamiento de datos personales a lo dispuesto en el artículo 6.1 del RGPD, evitando la utilización del número de teléfono móvil de los empleados sin base legitimadora, y que se justificaran y documentaran las medidas adoptadas.

En definitiva, antes de solicitar el número de teléfono móvil particular a un empleado hay que confirmar previamente que existe una base legitimadora para ello.

Etiquetas: