“Somos proveedores de una gran superficie y, en virtud del contrato, cada año puede venir un auditor externo a revisar que cumplimos la legislación y determinados estándares de calidad. En una de esas revisiones, el auditor nos pide la nómina de una trabajadora para comprobar que está cobrando conforme al convenio. La trabajadora se entera, se opone y nos dice que, si entregamos su nómina, nos denunciará ante la AEPD. ¿Estamos obligados a darle al auditor todo lo que nos pida?”
La respuesta es clara: NO. Que exista una cláusula contractual de auditoría no significa que la empresa deba entregar sin más cualquier documento con datos personales. En protección de datos, el criterio no es “si me lo piden, lo doy”, sino si realmente es necesario, proporcionado y limitado a la finalidad perseguida.
El punto de partida está en el principio de minimización de datos, recogido en el artículo 5 del RGPD: los datos deben ser “adecuados, pertinentes y limitados a lo necesario” para la finalidad del tratamiento. La propia AEPD recuerda que este principio obliga a configurar los tratamientos de forma mínimamente intrusiva, con la mínima cantidad de datos, la mínima accesibilidad y la mínima extensión necesarias.
Aplicado al caso, eso significa que el auditor puede tener interés en verificar que la empresa cumple el convenio, pero no por ello queda automáticamente legitimado para acceder a una nómina completa e identificada. Una nómina contiene muchos más datos de los estrictamente necesarios para esa comprobación: nombre y apellidos, DNI, domicilio, número de afiliación, cuenta bancaria, retenciones, posibles embargos y otros extremos que exceden claramente de la finalidad de la auditoría.
Por eso, antes de entregar una nómina íntegra, la empresa debe hacerse una pregunta muy sencilla: ¿puedo demostrar lo mismo con menos datos personales? Si la respuesta es sí, la entrega del documento completo sería excesiva. Y normalmente la respuesta será sí: puede acreditarse el cumplimiento mediante un certificado de asesoría o RR. HH., una tabla comparativa entre categoría profesional, convenio y salario abonado, o, en su caso, una nómina debidamente anonimizada. Ese es justamente el límite que marca la normativa: no comunicar más de lo imprescindible.
La base jurídica que permitiría la entrega de la nómina no nace automáticamente del contrato de suministro. Una cláusula de auditoría no convierte en ilimitado el acceso del auditor a datos personales de la plantilla. El deber de confidencialidad y el respeto a los principios del tratamiento siguen plenamente vigentes. En la LOPDGDD, esto conecta de forma directa con el deber de confidencialidad del artículo 5 y con el tratamiento amparado en obligación legal del artículo 8, que no puede confundirse con una mera exigencia contractual.
En consecuencia, la regla práctica debería ser esta: sí a la auditoría; no al acceso indiscriminado. El auditor puede revisar el cumplimiento, pero la empresa debe facilitarle solo la información estrictamente necesaria para ello, preferentemente en formato agregado, certificado o anonimizado. Y si excepcionalmente hubiera que mostrar documentación individual, habría que suprimir todos los datos irrelevantes para la comprobación.
Dicho de otro modo: no hay que entregar al auditor externo todo lo que pida, sino solo lo que necesite legítimamente y en la forma menos invasiva posible. Ese es el verdadero criterio de minimización.
Cómo utilizar la IA en mi empresa y cumplir el RGPD y la LOPDGDD
Las empresas que quieran seguir siendo competitivas en los próximos años tendrán que incorporar la inteligencia artificial a sus procesos internos. La IA ya permite ahorrar tiempo, automatizar tareas, mejorar la atención al cliente y aumentar la productividad.
Ahora bien, utilizar IA también puede generar riesgos relevantes para la protección de los datos personales. Por eso, el reto no consiste en renunciar a estas herramientas, sino en utilizarlas de forma compatible con la normativa.
La opción con mayores garantías de privacidad sería utilizar modelos de IA de código abierto, instalarlos en equipos propios ubicados en las instalaciones de la empresa y ejecutarlos en local, sin enviar datos a internet. Sin embargo, este enfoque suele tener una barrera de entrada elevada: exige inversión en hardware, conocimientos técnicos y una capacidad de mantenimiento que no todas las empresas tienen al empezar.
Por eso, en la práctica, lo más razonable para la mayoría de empresas es empezar utilizando herramientas de terceros, pero hacerlo bien desde el principio.
Así pues, las dos preguntas clave que debes plantearte para utilizar IA en tu empresa son estas:
Qué herramientas puedes utilizar.
Para qué las vas a utilizar.
Qué herramientas de IA pueden utilizarse con garantías
Los principales proveedores de IA se encuentran hoy, sobre todo, en Estados Unidos, aunque también existen alternativas europeas. Desde el punto de vista de protección de datos, lo importante no es solo el país de origen del proveedor, sino dónde se tratan los datos, qué condiciones contractuales ofrece y qué garantías existen para las transferencias internacionales. La Comisión Europea ha reconocido como adecuado, en el caso de Estados Unidos, únicamente a las organizaciones adheridas al EU-US Data Privacy Framework; fuera de ese supuesto, las transferencias deben apoyarse en otras garantías, como las cláusulas contractuales tipo. China no cuenta con decisión de adecuación de la Comisión Europea.
Por eso, no basta con decir que una herramienta “es americana” o que “tiene plan de empresa”. Hay que revisar caso por caso:
si el proveedor actúa como encargado del tratamiento,
si ofrece condiciones contractuales adecuadas,
si utiliza o no los datos introducidos para entrenar sus modelos,
y qué mecanismo jurídico ampara, en su caso, la transferencia internacional de datos.
En términos prácticos, la primera medida recomendable es aprobar una política interna de uso de IA y comunicar a toda la plantilla que no deben utilizar herramientas gratuitas o cuentas personales para tratar datos de clientes, trabajadores, proveedores o cualquier otra información confidencial de la empresa.
Además, cuando una herramienta vaya a utilizarse en el ámbito profesional, conviene contratar siempre la versión empresarial adecuada y revisar previamente sus condiciones de privacidad, su acuerdo de tratamiento de datos y sus reglas sobre reutilización de la información.
Para qué usos puede utilizarse la IA
La segunda cuestión es valorar para qué vais a utilizar la IA.
La IA puede aplicarse a muchísimas finalidades, pero desde el punto de vista jurídico hay una diferencia esencial entre:
usos de bajo o medio impacto para la privacidad, y
usos de alto riesgo, que pueden exigir un análisis previo más profundo y, en muchos casos, una Evaluación de Impacto relativa a la Protección de Datos (EIPD).
El RGPD exige realizar una EIPD cuando sea probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas. La AEPD recuerda, además, que esta obligación aparece con especial frecuencia cuando hay perfilado, decisiones automatizadas con efectos significativos, uso de categorías especiales de datos, biometría u observación sistemática.
A continuación, te dejamos una lista orientativa de posibles usos de la IA en la empresa. Los que aparecen destacados son los que, con mayor frecuencia, pueden implicar alto riesgo para la privacidad y requerir un análisis jurídico previo, y en muchos casos una EIPD.
Usos de IA en la empresa: ejemplos orientativos
A continuación exponemos una serie de ejemplos de uso. Los que están en letra normal, en principio no suponen un alto riesgo para la privacidad. Las que están en negrita, sí suponen un alto riesgo y no deberíais acometerlas sin un estudio previo de vuestro consultor de protección de datos. [Definimos entre corchetes la razón por la que se puede clasificar como alto riesgo]
🔊 Herramientas de análisis de audios
Para transcribir conversaciones presenciales, telefónicas o por videoconferencia.
Para detectar niveles de estrés o estados emocionales de clientes [Puede implicar perfilado e inferencias sobre aspectos personales especialmente sensibles; si además se apoya en biometría o categorías especiales, el riesgo aumenta notablemente. Art. 9 RGPD y art. 35 RGPD.]
Para identificar o autenticar clientes en llamadas mediante la voz [Puede implicar tratamiento de datos biométricos para identificar de manera unívoca a una persona, lo que incrementa el riesgo y puede exigir EIPD.]
📝 Herramientas de análisis de textos
Para revisar correos electrónicos de clientes.
Para revisar solicitudes de soporte.
Para procesar solicitudes de clientes mediante chatbots, formularios o WhatsApp.
Para evaluar el rendimiento de trabajadores mediante el análisis de sus comunicaciones [Puede suponer monitorización sistemática en el ámbito laboral. La LOPDGDD exige cautela reforzada en el control empresarial sobre empleados.]
🎥 Herramientas de análisis de vídeo
Para evaluar el rendimiento de trabajadores mediante vídeo [Puede implicar observación sistemática y afectar directamente a la intimidad en el ámbito laboral. La LOPDGDD regula expresamente la videovigilancia en el trabajo.]
Para reconocimiento facial en control de accesos, fichaje u otras finalidades [Puede implicar datos biométricos para identificación unívoca, con riesgo elevado y necesidad frecuente de EIPD.]
🤖 Automatización e IA generativa
Para redactar correos electrónicos o documentos.
Para resumir información interna o documentación.
Para generar contenido de marketing, blog o redes sociales.
Para tomar decisiones automatizadas sobre clientes, como scoring, priorización o aceptación de solicitudes [Puede entrar en el ámbito del art. 22 RGPD si produce efectos jurídicos o afecta significativamente a la persona.]
📊 Análisis de datos y predicción
Para análisis estadístico de clientes sin perfilado individual.
Para segmentación básica de clientes.
Para perfilado avanzado de clientes según comportamiento, solvencia, hábitos o preferencias [La AEPD identifica el perfilado y la valoración sistemática de personas como uno de los indicadores más claros de necesidad de EIPD.]
Para predecir comportamientos de compra, abandono, riesgo o impago [Puede constituir evaluación sistemática de aspectos personales y elevar el nivel de riesgo.]
👨💼 Recursos humanos
Para filtrar CVs automáticamente.
Para utilizar IA que decida o condicione de forma decisiva la contratación de candidatos [Puede suponer decisiones automatizadas con impacto significativo sobre la persona.]
Para analizar emociones o comportamiento en entrevistas mediante vídeo o audio [Uso muy intrusivo, con alto riesgo para la privacidad y fuerte necesidad de justificación y proporcionalidad.]
📍 Geolocalización y control
Para geolocalizar empleados en tiempo real mediante vehículos, móviles u otros dispositivos [La LOPDGDD regula específicamente la geolocalización en el ámbito laboral y exige información previa, clara y expresa, además de respetar los límites de proporcionalidad.]
Qué debe hacer una empresa antes de implantar IA
Antes de empezar a utilizar una herramienta de IA en la empresa, conviene revisar al menos estos puntos:
qué datos personales van a introducirse en la herramienta,
con qué finalidad concreta se va a utilizar,
si el proveedor ofrece garantías contractuales suficientes,
si existe transferencia internacional de datos y con qué base jurídica,
si el uso previsto puede implicar alto riesgo, perfilado, biometría o decisiones automatizadas,
y si hace falta realizar una Evaluación de Impacto.
Además, la empresa debe aplicar el principio de responsabilidad proactiva y adoptar medidas organizativas adecuadas: política interna de uso de IA, control de accesos, formación al personal, selección correcta de proveedores y limitación de finalidades. La propia LOPDGDD, en su art. 5, refuerza el deber de confidencialidad, y en sus arts. 89 y 90 establece límites específicos en videovigilancia y geolocalización en el ámbito laboral.
Conclusión
La IA no es incompatible con la protección de datos. Lo que sería incompatible es implantarla sin criterio.
La clave no está en prohibir su uso, sino en elegir bien la herramienta, contratarla correctamente y definir con precisión para qué se va a utilizar. Una empresa puede beneficiarse enormemente de la inteligencia artificial si actúa con orden, prudencia y responsabilidad: utilizando proveedores con garantías suficientes, evitando cuentas personales o gratuitas para fines profesionales, limitando los usos de alto riesgo y analizando previamente aquellos tratamientos que puedan afectar de forma intensa a los derechos de las personas.
En definitiva, no se trata de frenar la IA, sino de incorporarla bien. Y hacerlo bien significa usarla con utilidad empresarial, pero también con respeto al RGPD y a la LOPDGDD. Solo así el progreso tecnológico será realmente compatible con la seguridad jurídica y con la confianza de clientes, trabajadores y usuarios.
Por supuesto, estamos a vuestra disposición para ayudaros a abordar la incorporación de la IA en vuestra empresa.
El uso del teléfono personal del trabajador en el ámbito laboral es una cuestión recurrente que, mal gestionada, puede derivar en sanciones relevantes por parte de la Agencia Española de Protección de Datos (AEPD). Un ejemplo reciente es la sanción impuesta por utilizar los teléfonos personales de empleados como sistema de doble autenticación sin base legal válida ni medios alternativos profesionales.
A continuación, analizamos qué puede y qué no puede hacer la empresa, a la luz del RGPD y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
La empresa no puede exigir el teléfono personal del trabajador
La empresa no puede exigir al trabajador que facilite su número de teléfono personal. El tratamiento de este dato no es necesario para la ejecución del contrato de trabajo en la mayoría de los casos, por lo que no queda amparado por el artículo 6.1.b del RGPD.
Además, el artículo 88 del RGPD y el artículo 87 de la LOPDGDD refuerzan la necesidad de respetar la esfera privada del trabajador y el principio de ajenidad de los medios.
Si el trabajador no facilita su teléfono personal y la empresa necesita contactar con él, deberá utilizar exclusivamente los medios profesionales que haya puesto a su disposición:
Teléfono corporativo
Correo electrónico profesional
Intranet o portal del empleado
Otros sistemas internos de comunicación
En última instancia, y si no existe ningún medio técnico habilitado, la empresa podrá recurrir a una notificación fehaciente, como un burofax enviado al domicilio del trabajador.
Cesión voluntaria del teléfono personal: consentimiento válido
El trabajador puede facilitar voluntariamente su número de teléfono personal, pero en ese caso es imprescindible un consentimiento válido conforme al artículo 6.1.a del RGPD.
Dicho consentimiento deberá:
Ser libre, específico, informado e inequívoco
Limitar el uso del teléfono a contactos laborales puntuales y urgentes
Dejar claro que la negativa o retirada del consentimiento no tendrá consecuencias laborales
Permitir su retirada en cualquier momento
Así lo exige también el principio de minimización del artículo 5.1.c del RGPD y la doctrina reiterada de la AEPD.
Cuando la empresa necesita contactar de forma operativa
Si la empresa necesita un canal de contacto habitual u operativo —por ejemplo, para recibir códigos de verificación, accesos a aplicaciones o sistemas de doble factor—, no puede utilizar el teléfono personal del trabajador.
En estos casos, debe proporcionar medios profesionales adecuados, tales como:
Terminal móvil corporativo
Número de teléfono profesional
Correo electrónico corporativo
Sistemas internos de autenticación o mensajería
Utilizar el teléfono personal como herramienta técnica sin alternativa profesional vulnera los artículos 5 y 6 del RGPD y el artículo 90 de la LOPDGDD.
Grupos de WhatsApp o Telegram con teléfonos personales
Incluir el número de teléfono privado del trabajador en un grupo de WhatsApp o Telegram de empresa es, en la práctica, una receta casi segura para una sanción.
Supone una comunicación de datos personales a terceros sin base legal, contraviniendo:
El principio de licitud (art. 5.1.a RGPD)
El principio de minimización (art. 5.1.c RGPD)
Las garantías específicas del entorno laboral (art. 88 RGPD y art. 87 LOPDGDD)
SIM profesional en móvil personal: una alternativa válida
Sí es factible un pacto entre empresa y trabajador para que la empresa proporcione una tarjeta SIM con número profesional que el trabajador instale en su terminal móvil personal.
Para que esta opción sea válida y segura, es imprescindible:
Una política interna de comunicaciones
Una política de desconexión digital conforme al artículo 88.3 RGPD y 88 LOPDGDD
Regular horarios de uso y contactos fuera de jornada
Prever el apagado o no uso de la SIM fuera del horario laboral
Si la empresa no compensa económicamente al trabajador, será necesario un consentimiento expreso, libre y revocable. No obstante, es altamente recomendable formalizar un acuerdo en el que la empresa abone una cantidad anual como compensación por el uso del dispositivo personal.
Conclusión
El teléfono personal del trabajador no es una herramienta laboral por defecto. Forzar su uso, directa o indirectamente, sin base legal ni medios alternativos, expone a la empresa a sanciones relevantes, como demuestra una reciente actuación de la AEPD, en la que ha sancionado a una empresa con 80.000 euros de multa por solicitar los números de teléfono particulares de sus trabajadores y utilizarlos para recibir SMS con códigos de autorización a un sistema informático de un cliente de la empresa.
La clave está en respetar la voluntariedad, la proporcionalidad y el principio de ajenidad de los medios, pilares claramente reforzados por el RGPD y la LOPDGDD.
Un trabajador No está obligado a facilitar a su empresa ni su número de teléfono móvil particular, ni tampoco su correo particular.
El Tribunal Supremo, en 2015 anuló por abusiva una cláusula de un contrato de trabajo en que obligaba al trabajador a facilitar estos datos para comunicaciones laborales de la empresa.
Así pues, con la legislación actual, la empresa sólo puede recabar estos datos (número de teléfono particular y email particular) si el trabajador lo autoriza otorgando su consentimiento libre y voluntario.
Ese consentimiento, podrá ser revocado en cualquier momento por el trabajador, y la empresa deberá suprimir esos datos personales y dejar de utilizarlos.
LVMH Hispania ha sido sancionada con 70.000 euros por incluir en un grupo de Whatsapp de la empresa el teléfono móvil particular de una trabajadora que se había opuesto a seguir utilizándolo para uso empresarial.
El motivo de la sanción ha sido doble: Uno, por tratar datos personales sin una base lícita (la trabjadora había revocado su consentimiento) y otro por no respetar el derecho a la desconexión digital y recibir mensajes a cualquier hora en su teléfono particular.
Si tu empresa necesita utilizar herramientas de comunicación móvil como Whatsapp, Telegram o correo electrónico, tiene básicamente estas opciones:
Facilitar un terminal y una línea de teléfono móvil y un email corporativo al trabajador.
Suscribir un acuerdo con el trabajador por el que la empresa subvenciona parte del coste del terminal cada año, y el trabajador utiliza su propio terminal y su propia línea telefónica.
Solicitar el consentimiento del trabajador (que hemos de poder demostrar que ha sido libre, voluntario y revocable) para utilizar su terminal y su línea telefónica.
Y en cualquier caso, tener un protocolo de derecho a la desconexión digital de los trabajadores.
Estamos a tu disposición si quieres que revisemos la situación de tu empresa y te ayudemos a cumplir la ley y evitar sanciones.
Se está extendiendo un tipo de estafa en la que caen muchas más personas de las que te imaginas. Funciona así: Un amigo, cliente o proveedor tuyo contacta contigo y te pide un sencillo favor, que le reenvíes un código que te va a entrar por Whatsapp. Es un favor sencillo y que cuesta poco. En cuanto le indiques el código pasará esto: 1) Se hará con el control de tu whatsapp. 2) Recuperará la lista de tus contactos con los que has chateado recientemente. 3) Se hará pasar por ti, y hará una de estas cosas: * Repetirá el truco para ver si alguno de tus contactos pica y se hace también con el control de su Whatsapp. * Les dirá que eres tú, y les pedirá por favor que le envíen una transferencia urgente o un bizum porque estás en un apuro. – Algunos de tus contactos y amigos le enviarán su código o su dinero pensando que te ayudan a ti. Al fin y al cabo los mensajes los reciben desde tu número de Whatsapp y no tienen porqué desconfiar.
Desconfía SIEMPRE del que te pida un favor de este tipo y si te pide dinero una persona de tu confianza, llámale y habla para ver si reconoces su voz y te ratifica la petición.
NOTA IMPORTANTE: Si tu teléfono lo utilizas profesionalmente, y tus contactos son tus clientes y proveedores, además del desprestigio, supone una brecha de datos personales que tendrás que valorar si comunicar a la AEPD y avisar a tus clientes.
