La Agencia Española de Protección de Datos ha impuesto una sanción de 48.000 euros a una empresa de contact center que prestaba servicios para un cliente gestionado desde China, tras constatar el uso indebido de los teléfonos personales de sus empleados para recibir credenciales de acceso laboral.
Recogida de datos personales sin base legal acreditada
La investigación se inició tras una denuncia relacionada con la solicitud de números de teléfono y fechas de nacimiento a los trabajadores durante una formación interna. Estos datos se recogieron en un folio en blanco, sin ofrecer información sobre el tratamiento ni acreditar una base legal válida. De los 364 empleados activos, 203 facilitaron su móvil personal para recibir tokens de autenticación por SMS.
La empresa alegó que esta práctica era necesaria para ejecutar el contrato laboral y que el uso del móvil personal era una solución provisional. Sin embargo, la AEPD ha determinado que no existía una base jurídica válida para tratar y comunicar el teléfono personal con fines de autenticación laboral, según el artículo 6 del RGPD.
Advertencias internas y alternativas menos intrusivas
El Delegado de Protección de Datos de la empresa había advertido expresamente sobre la ilicitud de emplear teléfonos personales para este fin, pero la organización continuó con la práctica. La resolución subraya que la ejecución del contrato no justifica la cesión del número de teléfono personal a un tercero, especialmente cuando existen alternativas menos intrusivas, como el uso de medios corporativos.
"Imprescindible no es lo mismo que cómodo, rápido o barato" - Resolución de la AEPD
La Agencia también recuerda que en el ámbito laboral el consentimiento de los trabajadores no suele considerarse libre si no existe una alternativa real para el tratamiento de sus datos personales.
Resolución y sanción económica
La resolución (PS-00456/2025) concluye que la empresa vulneró el principio de licitud en el tratamiento de datos personales. La sanción inicial de 80.000 euros se ha reducido finalmente a 48.000 euros por reconocimiento de responsabilidad y pago voluntario.