Pues la respuesta es clara NO. Así lo ha determinado en una reciente Sentencia de la Audiencia Nacional 14/2024, nºRecurso 297/2023.
Poniéndonos en contexto, sobre el supuesto de hecho concreto, debemos de partir de que la Compañía en cuestión ante la falta de acuerdo con los representantes de los trabajadores sobre la regulación del trabajo a distancia procedió a firmar individualmente con los empleados el Acuerdo de Trabajo a Distancia (ATD) basándose en su propia propuesta.
Concretamente La cláusula 9 del ATD relativa a la protección de datos de la Compañía señala lo siguiente:
“Por motivos de ciberseguridad, tanto la Compañía y DXC como sus clientes están desplegando de forma progresiva métodos de autentificación y acceso a sistemas o aplicaciones necesarias para la prestación de los servicios. Por ello, la Compañía y DXC puede solicitar a la Persona Trabajadora, puntualmente, su número de teléfono móvil para l”a recepción de mensajes de tipo SMS y/o para acceder a aplicaciones que permiten confirmar la identidad, únicamente durante el horario de trabajo establecido. El tratamiento del dato de número de teléfono móvil se limitará a la finalidad de verificar la identidad de la Persona Trabajadora durante el acceso a sistemas y aplicaciones, estando este tratamiento amparado en el interés legítimo de la Compañía y DXC en garantizar la seguridad de la información y los sistemas”
Por su parte, de forma contradictoria a dicha cláusula, si acudimos art. 19.7 del Convenio Colectivo de aplicación, relativa a la dotación de medios y compensación de gastos establece que:
“Las empresas no podrán utilizar herramientas, aplicaciones o dispositivos de las personas trabajadoras que no sean facilitadas por la propia empresa. En el caso de que fuera necesario un sistema de doble factor de autenticación, la empresa deberá facilitar las herramientas y medios necesarios para su uso. Como caso excepcional y exclusivamente para esta finalidad, si la persona trabajadora rechaza la herramienta facilitada por la empresa, podrá dar su consentimiento al uso de dispositivos o herramientas de su propiedad.”
En este caso concreto, la Compañía hace entrega a la Persona Trabajadora de los medios materiales necesarios para el ejercicio de su actividad profesional, los cuales se mencionan a continuación, detallándose igualmente la vida útil que se calcula a cada uno de ellos:
— Ordenador
— Teclado
— Ratón
— Otros
A todos estos medios se les atribuye una vida útil de seis años. El uso de los medios relacionados está exclusivamente limitado al ejercicio de la actividad profesional, no pudiéndose emplear para fines personales, y teniendo en cuenta lo establecido en la política de desconexión digital.
¿Pero qué es el segundo factor de autenticación?
Según indica el Instituto Nacional de Ciberseguridad (INCIBE), el segundo factor es «el proceso de seguridad por el cual un usuario debe confirmar su identidad por varios métodos que pueden ser usados simultáneamente»:
- Algo que sabes (Contraseña o pin…).
- Algo que tienes (Generador de claves o tarjeta de coordenadas).
- Algo que seas (huella dactilar o reconocimiento facial).
A medida que añadimos capas, mejoramos la seguridad, haciendo que sea más difícil para un atacante hacerse con información sensible. Hablamos de la autenticación de múltiples factores.
La elección de este segundo factor de autenticación puede incluir desde la recepción de códigos de verificación por mensaje de texto (SMS) o correo electrónico, la generación de códigos a través de una aplicación de autenticación, o el uso de una llave física.
Volviendo al caso aquí analizado, la Sala reconoce que uno de los procedimientos más difundidos para garantizar la seguridad de las comunicaciones informáticas consiste en el empleo de métodos de autentificación a través de mensajes SMS que remiten un código que el destinatario debe emplear para acceder a determinadas aplicaciones. El empleo de estos mecanismos para garantizar la identificación de los que acceden a tales aplicaciones no es cuestionado por esta Sala, lo que sí resulta controvertido es que los mensajes SMS se remitan al teléfono móvil personal de cada trabajador por cuanto con ello se le impone el empleo para el trabajo de sus personales herramientas y dispositivos.
De la norma convencional se deduce que los negociadores acuerdan prohibir el empleo de aplicaciones y dispositivos del trabajador y que de ser necesario usar un doble factor de autentificación, lo que ocurre con la remisión de mensajes SMS que remiten un código para acceder a las aplicaciones, el empresario será quien deba facilitar las herramientas y medios precisos.
Esta previsión convencional se incumple con la cláusula contenida en los acuerdos individuales de trabajo a distancia, que como puede apreciarse, impone al trabajador el uso para la autenticación de su teléfono personal.
En conclusión, no podemos ampararnos en el interés legítimo de la Compañía para garantizar la seguridad de la información y los sistemas, como base de legitimación para solicitar el teléfono móvil personal de cada trabajador/a y sobre los que la Compañía carece de poder de disposición.
La Sala declara nula la cláusula del ATD que impone al trabajador el uso para la autenticación de su teléfono personal.
La AEPD ya tuvo ocasión de pronunciarse sobre esta cuestión el EXP202100091, en la que se apercibió a la Policía municipal del Ayuntamiento de Madrid por la utilización del número de teléfono móvil de los agentes como segundo factor de autenticación sin concurrir base legitimadora alguna de las recogidas en el artículo 6.1 RGPD.
¿cabe entonces la posibilidad de acudir al consentimiento como base de legitimación para solicitar el móvil personal a los efectos de su autenticación?
El Comité Europeo de Protección de Datos en sus Directrices 5/2020, de 4 de mayo de 2020, sobre el consentimiento señala que:
“21. También en el contexto del empleo se produce un desequilibrio de poder. Dada la dependencia que resulta de la relación entre el empleador y el empleado, no es probable que el interesado pueda negar a su empleador el consentimiento para el tratamiento de datos sin experimentar temor o riesgo real de que su negativa produzca efectos perjudiciales. Parece poco probable que un empleado pudiera responder libremente a una solicitud de consentimiento de su empleador para, por ejemplo, activar sistemas de vigilancia por cámara en el lugar de trabajo o para rellenar impresos de evaluación, sin sentirse presionado a dar su consentimiento. Por tanto, el CEPD considera problemático que los empleadores realicen el tratamiento de datos personales de empleados actuales o futuros sobre la base del consentimiento, ya que no es probable que este se otorgue libremente. En el caso de la mayoría de estos tratamientos de datos en el trabajo, la base jurídica no puede y no debe ser el consentimiento de los trabajadores [artículo 6, apartado 1, letra a)] debido a la naturaleza de la relación entre empleador y empleado.”
“22. No obstante, esto no significa que los empleadores no puedan basarse nunca en el consentimiento como base jurídica para el tratamiento de datos. Puede haber situaciones en las que el empleador pueda demostrar que el consentimiento se ha dado libremente. Dado el desequilibrio de poder entre un empleador y los miembros de su personal, los trabajadores únicamente pueden dar su libre consentimiento en circunstancias excepcionales, cuando el hecho de que otorguen o no dicho consentimiento no tenga consecuencias adversas.”
También debemos citar el Dictamen 2/2017 del Grupo de Trabajo del artículo 29, de 8 de junio de 2017 sobre tratamiento de datos en el trabajo, que establecía que «es muy poco probable que el consentimiento constituya una base jurídica para el tratamiento de datos en el trabajo, a no ser que los trabajadores puedan negarse sin consecuencias adversas».
En este sentido el actual artículo 7, apartado 4, del RGPD ofrece información importante para valorar si el consentimiento se ha dado libremente.
«Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.»
Por tanto, el artículo 7, apartado 4, solo es pertinente cuando los datos solicitados no son necesarios para la ejecución del contrato (incluida la prestación de un servicio).
Por tanto, si por parte de la Compañía se ofreciese al personal como alternativa una elección real sin necesidad de acudir al uso de su móvil personal como segundo factor de autenticación, de tal forma que existan otras opciones como la puesta a disposición de dispositivos o herramientas corporativas, el consentimiento no estaría condicionado y por tanto sería un consentimiento válido y libremente prestado.
También puede darse el caso de que sea el propio trabajador/a el que desee utilizar su propio móvil para no tener que usar dos dispositivos. Para ello será necesario aprobar una política BYOD (Bring your own device) que establezca claramente como se utilizarán estos terminales y que medidas de seguridad se implementarán.