Aunque no es lo deseable, y así lo indican los expertos en tecnología y en protección de datos, es relativamente habitual que las empresas se comuniquen con sus plantillas mediante llamadas o programas de correo que se reciben a través del terminal privado de los trabajadores o que utilicen su número personal como canal de comunicación ordinaria con sus empleados, bien mediante llamadas, bien a través de la creación de grupos de WhatsApp que los incluyen.
La práctica de utilizar las terminales telefónicas de los empleados generó en su momento una expresión, BYOD, que son las siglas de la frase inglesa bring your own device, “trae tu propio aparato”. Es cierto que el contexto tecnológico ha cambiado radicalmente, ya que originalmente los empleados aportaban sus equipos porque eran mejores o más cómodos que los que les proporcionaba la empresa (por ejemplo, quien tenía una tableta la prefería a cargar con un portátil). Hoy esta práctica responde a otros condicionantes, como la generalización de las apps relacionadas con el trabajo y las herramientas de comunicación. Hoy estar en uno o varios grupos de WhatsApp del trabajo es absolutamente común. Los problemas que esto genera son enormes pues afectan a la intimidad, al secreto de las comunicaciones, a la desconexión digital y generan brechas de seguridad. Lo curioso es que con esto uno de los elementos tradicionalmente identificadores del trabajo por cuenta ajena, que los servicios se prestaban con los medios suministrados por la empresa (la llamada “ajenidad en los medios de producción”), ha comenzado a perder su eficacia. El caso de los riders de las plataformas de delivery es sintomático: para los tribunales laborales, aunque éstos aportaran todos los medios de producción (transporte, móvil, incluso la mochila), ello no fue óbice para que se considerara que existía ajenidad y subordinación en su prestación de servicios.
A nivel regulatorio no es algo que el legislador haya contemplado. Las medidas establecidas por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales se refieren a la tutela de la intimidad del trabajador frente a los registros, controles y auditorías por parte de la empresa, respecto de los dispositivos puestos a su disposición por ésta. Así, su artículo 87.1 dispone que ”los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador”. No se contempla la posibilidad de que se trate de medios propiedad de los propios empleados. Lo mismo ocurre con el artículo 20bis del Texto Refundido de la Ley del Estatuto de los Trabajadores.
En la Ley 10/2021, de 9 de julio, de trabajo a distancia vamos a encontrar un supuesto diferente, la utilización de los dispositivos propiedad de la empresa para fines particulares, cuando se afirma que “los convenios o acuerdos colectivos podrán especificar los términos dentro de los cuales las personas trabajadoras pueden hacer uso por motivos personales de los equipos informáticos puestos a su disposición por parte de la empresa para el desarrollo del trabajo a distancia, teniendo en cuenta los usos sociales de dichos medios y las particularidades del trabajo a distancia”.
En esta misma ley vamos a encontrar una primera referencia expresa al BYOD, y así en su artículo 17.2 se establece que “la empresa no podrá exigir la instalación de programas o aplicaciones en dispositivos propiedad de la persona trabajadora, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia”. Es una norma que limita este uso profesional de los medios privados del trabajador, aunque este mandato tiene dos importantes limitaciones: sólo aplica al trabajo a distancia afectado por esta ley, que sólo es una parte del teletrabajo que hay en España (el que iguala o supera el 30% del tiempo de trabajo); y se limita a impedir que se imponga, por lo que, contrario sensu, cabe esta utilización mediando el consentimiento del empleado propietario del aparato.
Cuestión distinta es la del acceso por la empresa a los empleados a través de sus números privados, práctica respecto de la que la regulación laboral nada dice. En cambio, la jurisprudencia ha ayudado mucho en esta tarea de delimitar el uso profesional del móvil particular de un empleado. Tuvo mucho eco en su momento una sentencia de la Sala de lo Social del Tribunal Supremo de 21 de septiembre de 2015, que estableció que una empresa no puede obligar al trabajador a facilitar el número de su teléfono móvil y el correo electrónico privado insertando a ese fin una cláusula con este contenido en el contrato. En esta cuestión lo que se discutía era, por un lado, la necesidad del consentimiento del trabajador para poder acceder a este dato; y, por otro, la validez del consentimiento en sí.
Respecto de la primera cuestión, el Tribunal Supremo considera que estos datos en manera alguna están exentos del consentimiento del trabajador, porque no lo están en la excepción general del art. 6.2 de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales al no ser «necesarios para el mantenimiento o cumplimiento» del contrato de trabajo, y sin que resulte aplicable la excepción al régimen general de datos personales del art. 2.2 del Reglamento de Protección de Datos que se refiere exclusivamente al teléfono y dirección electrónica «profesionales», esto es, los destinados específicamente a la actividad profesional del trabajador.
En relación con lo segundo, y aunque la Sala considera que sí resulta posible que voluntariamente puedan ponerse aquellos datos a disposición de la empresa e incluso que esto puede resultar deseable, no es admisible que en el contrato de trabajo se haga constar mediante cláusula/tipo que el trabajador presta su «voluntario» consentimiento a aportar los referidos datos personales. El motivo es que el trabajador es la parte más débil del contrato y que al ser incluida por la empresa en el momento de acceso a un bien escaso como es el empleo puede entenderse que su consentimiento sobre tal extremo no es por completo libre y voluntario.
La conclusión fue la nulidad de la cláusula, y la obligación de la empresa de excluirla de los contratos de trabajo.
A falta de mandatos legales y de guías jurisprudenciales claras, la ordenación de esta práctica ha quedado en manos de la negociación colectiva y de los documentos de ordenación del uso de los dispositivos digitales en las empresas, como guías y protocolos, que deben ser igualmente negociados.
Una reciente decisión de la Agencia Española de Protección de Datos, de 5 de marzo de este año, ha contribuido notablemente a esta definición de los espacios de utilización lícita por las empresas de los teléfonos de sus empleados. En este caso, un trabajador, empleado por la entidad contra la que se presentó la reclamación, expresa que su empleadora envía datos personales o comunicaciones de los clientes a su WhatsApp personal, a pesar de que el empleado había avisado en varias ocasiones para que se detuviera esta práctica, y de que no autorizaba el uso de su teléfono móvil personal ni sus cuentas personales como medios para trabajar. La comunicación se produce una vez extinguida la relación laboral. Las circunstancias del caso eran, como se ve, peculiares, porque constaba una oposición expresa y además se alegaban cuestiones de seguridad.
La empresa alegó que era una práctica inveterada en sus relaciones laborales; que se contaba con el consentimiento previo del trabajador para utilizar esta vía de comunicación con la empresa; que no se produjo su inclusión en un grupo de WhatsApp; que no se enviaron comunicaciones fuera del horario; que no se requirió al trabajador que contactara con ningún cliente a través de su dispositivo móvil o a través de una red social; y que en ningún momento hubo sanción o reproche por parte de la empresa a la parte reclamante si no había sido contestada alguna comunicación. Todas estas circunstancias, que suelen tranquilizar a las empresas, no han sido sin embargo consideradas por la AEPD.
Hace algunos años dos resoluciones de la misma APED, de 10 de octubre de 2023 y del 9 de enero de 2023, ya habían estudiado la cuestión de si resulta posible obligar a un trabajador a formar parte de un grupo de WhatsApp creado por la empresa para comunicaciones empresariales, indicando que sólo resulta legítimo si se hace mediante un teléfono suministrado por ésta. En el caso de la resolución comentada, sin embargo, la AEPD sostiene que la cuestión nada tiene que ver con la incorporación del teléfono particular de la parte reclamante en uno de estos grupos, sino con el tratamiento por la empresa de los datos del trabajador (su número de teléfono), sin que concurra alguna de las condiciones que determinen su licitud, al haberse puesto en contacto para realizar una consulta relativa a la gestión contable de un cliente, una vez extinguida la relación laboral.
Ha existido un tratamiento de datos. Al haberse extinguido previamente la relación laboral, no existía causa que justificase la licitud del tratamiento realizado por la empresa. Ésta tampoco había obtenido el consentimiento del trabajador para contactar con él. Por uno y otro motivo se ha producido una vulneración del artículo 6.1 del RGPD, lo que lleva a imponerle una sanción.
Unas semanas antes otra resolución de la AEPD, de 28 de febrero de 2025, analizó un supuesto en el que una empresa había proporcionado los datos personales de uno de sus empleados, teléfono móvil personal incluido, a 18 personas, sin haber solicitado previamente su consentimiento. La práctica de la empresa era recabar este consentimiento previo al envío de los datos, pero por error se produjo esta transmisión sin que el trabajador afectado hubiera consentido. Sin embargo, al AEPD considera que incluso si se hubiera prestado su consentimiento, el mismo no podría considerarse válido para el tratamiento de datos objeto de la reclamación, por producirse en el marco de la celebración de un contrato de trabajo. El consentimiento ha de prestarse libremente, y en el ámbito laboral este requisito cobra especial relevancia por la diferente posición que ocupan el empleador y el empleado, siendo necesario que se acredite que la no prestación del consentimiento por el trabajador no implicará ninguna consecuencia negativa para el mismo, de tal forma que quede garantizada su libre prestación. Sin estas condiciones, la prestación del consentimiento no ofrecería al interesado un verdadero control sobre sus datos personales y el destino de los mismos, y ello haría ilegal la actividad del tratamiento.
Todos estos datos normativos nos apuntan hacia una misma dirección: el riesgo que supone para los empleadores recurrir al teléfono privado de sus empleados para realizar comunicaciones vinculadas con su actividad. Es uno de esos casos en los que una práctica absolutamente común, y respecto de la que no existe sensación de riesgo, puede ser una fuente de problemas jurídicos relevantes. La amenaza del “empleado descontento” está siempre presente, de tal modo que esta potencial irregularidad puede ser siempre utilizada contra su empresa.
Además, las empresas deben ser conscientes de que es una reivindicación de las organizaciones sindicales la exclusión completa del teléfono privado del trabajador, tanto del aparato como de su número, para usos profesionales. De hecho, se han hecho eco de la resolución de la AEPD de 5 de marzo, interpretándola casi como una prohibición absoluta de esta práctica: “el uso del móvil privado para fines laborales es sancionable”, ha llegado a afirmar UGT. Aunque no sea del todo así, es cierto que el círculo se está cerrando cada vez más respecto de este uso.
También deben recordar las empresas que en una relación como la de trabajo el consentimiento, que les tranquiliza bastante, no es siempre suficiente, porque puede retirarse y porque puede ser considerado inadecuado por los tribunales o por la AEPD.
Los protocolos de utilización de los dispositivos digitales en las empresas deben prestar especial atención al uso de los móviles privados, estableciendo medidas de seguridad y de garantía de la voluntariedad del trabajador. Pero la mejor manera de evitar los riesgos, qué duda cabe, es proporcionar un teléfono profesional a todos los empleados, dotado de medios de seguridad y con reglas precisas sobre su utilización. Sólo que no todas las empresas podrán permitirse hacerlo.