La ciberseguretat és una prioritat per a les empreses, però no pot implementar-se a costa de la privacitat dels empleats. L’Agència Espanyola de Protecció de Dades (AEPD) ha imposat una sanció de 48.000 euros a una companyia que exigia als seus treballadors l’ús del seu telèfon mòbil particular per rebre els codis de verificació (doble factor d’autenticació) necessaris per accedir a les aplicacions corporatives.
A AMS Legal a Amposta analitzem aquesta resolució que marca un precedent important sobre els límits del control empresarial i l’ús de dispositius personals (BYOD) en l’entorn laboral.
El cas: Seguretat corporativa vs. Privacitat personal
L’empresa sancionada va implementar un sistema de seguretat que requeria que els empleats descarreguessin una aplicació al seu telèfon personal o rebessin SMS per poder accedir a la VPN i a les eines de teletreball. L’empresa no proporcionava telèfons corporatius a tota la plantilla, per la qual cosa l’ús del dispositiu personal esdevenia, a la pràctica, obligatori per poder treballar.
L’AEPD considera que aquesta pràctica vulnera la normativa per dos motius principals:
- Manca de consentiment lliure: En l’àmbit laboral, hi ha un desequilibri de poder entre empresari i treballador. Si l’empresa no ofereix una alternativa (com un telèfon d’empresa o un «token» físic), el consentiment del treballador per usar el seu mòbil no es considera lliure, sinó forçat.
- Vulneració del principi de minimització de dades: L’empresa no necessita conèixer el número de telèfon privat de l’empleat ni obligar-lo a instal·lar apps en el seu dispositiu privat per garantir la seguretat dels seus sistemes. Existeixen alternatives menys intrusives.
Què han de fer les empreses a partir d’ara?
Aquesta resolució no prohibeix l’ús de l’autenticació de doble factor (que és molt recomanable), però obliga a canviar la forma d’implementar-la. Si la teva empresa a les Terres de l’Ebre vol evitar sancions, ha de seguir aquests criteris:
- Oferir alternatives: Si es requereix un codi per accedir al sistema, l’empresa ha de proporcionar el mitjà per rebre’l (mòbil corporatiu) o una alternativa analògica (targetes de coordenades o tokens físics).
- Voluntarietat real: L’ús del mòbil personal només pot ser una opció si el treballador ho accepta voluntàriament i existeix una alternativa real en cas que s’hi negui.
- Regulació clara: És fonamental comptar amb una política de desconnexió digital i d’ús de dispositius que respecti la normativa vigent.
Assessorament preventiu a AMS Legal
La transformació digital de les empreses comporta obligacions legals que sovint es passen per alt. Implementar mesures de seguretat sense validar-les legalment pot sortir molt car.
A AMS Legal t’ajudem a redactar les clàusules de privacitat i els protocols d’ús de dispositius per garantir que la teva empresa sigui segura tant a nivell tècnic com jurídic.
Tens dubtes sobre com gestiona la teva empresa les dades dels treballadors? Contacta amb nosaltres.