Móvil personal en el trabajo: qué puede controlar tu empresa

Móvil personal en el trabajo: qué puede controlar tu empresa

Cada vez más empleados usan su propio móvil para trabajar. Pero ¿qué puede controlar legalmente la empresa en ese teléfono personal? Descubre los límites del BYOD, las obligaciones del empresario y cómo proteger los datos corporativos sin invadir la privacidad del trabajador.

Tu empleado revisa el correo corporativo desde su iPhone, accede al CRM de la empresa con el Samsung que compró hace dos años y atiende a clientes por WhatsApp desde el mismo número que usa para hablar con su familia. Esta situación, que en muchas PYMEs ocurre de forma espontánea y sin ningún protocolo, tiene un nombre técnico: BYOD (del inglés Bring Your Own Device, o "trae tu propio dispositivo"). Y tiene implicaciones legales muy concretas que como empresario debes conocer.

En este artículo te explicamos qué puede y qué no puede controlar la empresa en el móvil personal de un trabajador, qué ocurre con los datos corporativos que circulan por ese teléfono, y cómo establecer una política BYOD que cumpla con el RGPD y el Estatuto de los Trabajadores sin convertirte en el jefe que espía a sus empleados.

¿Qué es BYOD y por qué se ha extendido tanto?

El modelo BYOD consiste en que los trabajadores utilizan sus dispositivos personales —teléfonos, tablets, portátiles— para realizar tareas laborales. No es un fenómeno nuevo, pero la pandemia lo disparó: el teletrabajo masivo hizo que muchas empresas, especialmente PYMEs sin grandes recursos tecnológicos, aceptasen que sus empleados trabajasen desde sus propios dispositivos sin establecer ninguna regla.

Desde el punto de vista económico, BYOD tiene ventajas evidentes: la empresa no tiene que costear dispositivos, los empleados trabajan con el teléfono que ya conocen y se sienten cómodos, y la implantación es inmediata. Pero desde el punto de vista legal y de seguridad, BYOD sin política escrita es una fuente de problemas.

Dato clave: Según el artículo 4.1 del RGPD, cualquier información que identifique o permita identificar a una persona física —incluyendo clientes, proveedores o empleados— es un dato personal. Cuando esos datos circulan por el móvil de un trabajador, la empresa sigue siendo responsable de su tratamiento, aunque el dispositivo sea propiedad del empleado.

El problema central: dos mundos en un mismo dispositivo

El teléfono personal del trabajador contiene dos tipos de información completamente distintas que comparten el mismo hardware:

  • Información personal del trabajador: fotos familiares, conversaciones privadas, datos bancarios, historial de navegación, aplicaciones personales, contactos de amigos y familiares.
  • Información corporativa: correos de empresa, documentos con datos de clientes, accesos a sistemas internos, conversaciones con proveedores, facturas, contratos.

Esta mezcla es el origen de todos los conflictos. La empresa tiene legítimo interés en proteger sus datos corporativos. El trabajador tiene derecho fundamental a la intimidad y a la protección de sus datos personales. Encontrar el equilibrio entre ambos intereses es exactamente lo que debe hacer una buena política BYOD.

¿Qué puede controlar legalmente el empresario?

Esta es la pregunta que más nos hacen los empresarios. La respuesta corta es: puede controlar el acceso y uso de los datos corporativos, pero no el teléfono en su conjunto. La respuesta larga requiere distinguir entre distintos tipos de control.

Lo que SÍ puede hacer la empresa

  • Exigir el uso de aplicaciones corporativas separadas: La empresa puede requerir que el correo corporativo se gestione a través de una aplicación específica (como Microsoft Outlook con políticas MDM) en lugar del cliente de correo genérico del teléfono.
  • Imponer contraseñas o PIN de desbloqueo: Puede exigir que el dispositivo esté protegido con contraseña, huella dactilar o reconocimiento facial como condición para acceder a sistemas corporativos.
  • Borrar de forma remota únicamente los datos corporativos: Mediante soluciones MDM (Mobile Device Management), es técnicamente posible borrar solo el "contenedor corporativo" del teléfono sin tocar los datos personales del trabajador.
  • Establecer qué aplicaciones pueden usarse para comunicaciones de empresa: Puede prohibir el uso de WhatsApp personal para tratar datos de clientes y exigir el uso de plataformas con cifrado corporativo.
  • Auditar el acceso a sistemas internos: Los registros de acceso a la VPN, al ERP o al correo corporativo son logs de sistemas de la empresa, no del teléfono. La empresa puede monitorizarlos con plena legalidad.

Lo que NO puede hacer la empresa

  • Acceder al contenido personal del teléfono: Fotos, mensajes privados, aplicaciones personales, historial de navegación en la red del empleado. Esto vulneraría el artículo 18 de la Constitución Española (derecho a la intimidad) y el artículo 87 de la Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD).
  • Instalar software de seguimiento o espionaje en el dispositivo personal: Keyloggers, capturas de pantalla automáticas, rastreo de ubicación fuera del horario laboral. Esto no solo vulnera el RGPD sino que puede constituir un delito penal.
  • Exigir el borrado total del dispositivo al final de la relación laboral: La empresa puede recuperar sus datos corporativos, pero no tiene derecho a borrar el teléfono completo del ex empleado.
  • Monitorizar las comunicaciones personales del trabajador: Aunque el empleado use el mismo teléfono para trabajar, sus conversaciones personales están protegidas por el secreto de las comunicaciones.
⚠ Riesgo legal: La AEPD ha sancionado a empresas por instalar software de control en dispositivos de trabajadores sin informarles previamente y sin base jurídica legítima. Las multas por vulnerar el artículo 88 del RGPD (tratamiento de datos en el contexto laboral) pueden alcanzar los 20 millones de euros o el 4% de la facturación global anual. Y si el control afecta a dispositivos personales sin política previa, la sanción puede ser aún mayor por ausencia total de legitimación.

Qué ocurre con los datos de empresa que están en el móvil personal

Este es uno de los aspectos que más preocupa a los responsables de protección de datos. Cuando un trabajador accede desde su teléfono personal a un sistema de la empresa —sea el correo, un CRM, una carpeta compartida o una aplicación de gestión—, los datos corporativos quedan en ese dispositivo. ¿Qué problemas puede generar esto?

Riesgos de seguridad reales

  • El teléfono se pierde o es robado: Si no tiene contraseña, cualquiera puede acceder a todos los datos de clientes, correos internos y documentos confidenciales que estén en ese teléfono.
  • El empleado instala aplicaciones maliciosas: En un dispositivo personal, el control sobre qué apps se instalan es nulo para la empresa. Una app fraudulenta puede robar credenciales corporativas.
  • El teléfono se conecta a redes wifi inseguras: Cafeterías, hoteles, aeropuertos. Sin VPN, los datos que circulan por esas redes pueden ser interceptados.
  • El empleado abandona la empresa: Al irse, se lleva su teléfono con todos los datos corporativos que tenga descargados o cacheados. Sin protocolo de salida, esos datos nunca se recuperan.
  • El teléfono se entrega a un familiar: Muchas personas dan su antiguo teléfono a sus hijos o pareja sin borrar correctamente los datos. Los contactos de clientes o los correos corporativos pueden quedar accesibles a terceros.

Las obligaciones de la empresa ante un incidente

Si se produce una brecha de seguridad —el teléfono se pierde, es robado, o un ex empleado accede indebidamente a datos después de su baja—, la empresa sigue siendo responsable de notificarlo a la AEPD en el plazo de 72 horas desde que tenga conocimiento del incidente, según el artículo 33 del RGPD. El hecho de que los datos estuviesen en un dispositivo personal del trabajador no exime a la empresa de esta obligación.

Cómo debe ser una política BYOD que cumpla con el RGPD

Una política BYOD es el documento que regula las condiciones bajo las cuales los trabajadores pueden usar sus dispositivos personales para fines laborales. No es un documento opcional si tu empresa permite esta práctica: es una obligación derivada del principio de responsabilidad proactiva (accountability) del artículo 5.2 del RGPD.

Elementos esenciales de una política BYOD

  1. Ámbito de aplicación: A qué trabajadores aplica, qué dispositivos están permitidos (solo smartphones, también tablets y portátiles) y qué sistemas corporativos son accesibles desde dispositivos personales.
  2. Requisitos mínimos de seguridad del dispositivo: Contraseña o biometría activa, sistema operativo actualizado, cifrado del almacenamiento habilitado, antivirus instalado. El trabajador debe confirmar por escrito que cumple estos requisitos.
  3. Aplicaciones permitidas y prohibidas: Qué apps corporativas deben instalarse, qué aplicaciones están prohibidas para uso laboral (por ejemplo, WhatsApp personal para enviar datos de clientes), qué servicios de almacenamiento en la nube están autorizados.
  4. Separación de entornos: Cómo se separan técnicamente los datos personales de los corporativos. Las soluciones MDM (Microsoft Intune, VMware Workspace ONE, etc.) permiten crear un "contenedor seguro" donde viven las aplicaciones corporativas, aisladas del resto del teléfono.
  5. Protocolo ante pérdida o robo: El trabajador debe notificar a la empresa en un plazo determinado (recomendamos máximo 4 horas) para poder proceder al borrado remoto del contenedor corporativo.
  6. Protocolo de salida o baja: Al finalizar la relación laboral, qué pasos se seguirán para recuperar los datos corporativos y eliminarlos del dispositivo del ex empleado. Debe hacerse con acuse de recibo firmado.
  7. Derechos del trabajador: Qué puede y qué no puede monitorizar la empresa. La política debe dejar claro expresamente que no se accederá a datos personales del dispositivo.
  8. Firma del trabajador: La política debe ser firmada por cada trabajador afectado, con constancia de que ha sido informado. Esto es imprescindible para que la empresa pueda demostrar cumplimiento ante la AEPD.

La información al trabajador: obligación legal, no cortesía

Muchos empresarios pasan por alto este punto. El artículo 87 de la LOPDGDD establece que los trabajadores deben ser informados de los criterios de utilización de los dispositivos digitales puestos a su disposición por la empresa. Aunque en el caso BYOD el dispositivo es del trabajador, la empresa sigue estando obligada a informar sobre qué datos trata, con qué finalidad y durante cuánto tiempo.

Esta información debe incluirse en el registro de actividades de tratamiento de la empresa (art. 30 RGPD) bajo una categoría específica como "gestión de dispositivos BYOD" o similar. Y debe haber una cláusula informativa específica que el trabajador reciba y firme, distinta a la cláusula general de privacidad laboral.

WhatsApp en el móvil personal: el caso más frecuente

WhatsApp merece mención especial porque es, con diferencia, la herramienta más utilizada de forma espontánea en PYMEs españolas para comunicaciones laborales. El problema es que WhatsApp —incluso en su versión Business— presenta serias dificultades de cumplimiento RGPD:

  • Al instalar WhatsApp en un teléfono, la aplicación accede a toda la agenda de contactos del dispositivo y sube esos datos a los servidores de Meta (Estados Unidos), sin que la empresa haya podido informar a esos contactos ni obtener su consentimiento.
  • Si el trabajador usa WhatsApp personal para enviar datos de clientes, esos datos quedan en una plataforma sobre la que la empresa no tiene ningún control ni puede garantizar las medidas de seguridad del artículo 32 del RGPD.
  • La transferencia internacional de datos a Estados Unidos requiere garantías adicionales (Decisión de Adecuación UE-EE.UU. o cláusulas contractuales tipo), que WhatsApp personal no ofrece de forma compatible con el uso empresarial de datos de clientes.

La recomendación práctica para PYMEs es establecer plataformas alternativas para comunicaciones internas (Microsoft Teams, Google Workspace, Slack con plan de empresa) y prohibir expresamente el envío de datos de clientes por WhatsApp personal en la política BYOD.

Artículo 26 LOPDGDD: El derecho a la intimidad del trabajador en el uso de dispositivos digitales en el trabajo está expresamente reconocido en la legislación española. La empresa solo puede establecer controles si previamente ha establecido criterios de uso por escrito y ha informado a los trabajadores. Sin ese paso previo, cualquier control es ilegal, aunque se haya realizado sobre datos corporativos.

Buenas prácticas para empresas que permiten BYOD

Si tu empresa ya tiene trabajadores usando sus propios móviles para trabajar, o si estás pensando en implementar esta política, aquí van las recomendaciones concretas que damos desde ConfidencialyDat:

Medidas técnicas

  • Implementa una solución MDM que permita gestionar el acceso corporativo sin tocar los datos personales del dispositivo.
  • Exige autenticación de doble factor (2FA) para acceder a cualquier sistema corporativo desde un dispositivo personal.
  • Utiliza VPN corporativa para todo el tráfico de datos de empresa que circule por redes externas.
  • Configura el correo corporativo para que los archivos adjuntos no se descarguen automáticamente en la galería de fotos del teléfono.
  • Habilita el cifrado en los contenedores corporativos y establece tiempo de sesión automático.

Medidas organizativas y documentales

  • Redacta y aprueba formalmente una política BYOD antes de permitir que ningún trabajador acceda a sistemas corporativos desde su móvil personal.
  • Incluye el tratamiento BYOD en tu Registro de Actividades de Tratamiento.
  • Forma a tus trabajadores: que entiendan qué datos pueden manejar desde su teléfono personal y cuáles no, qué deben hacer si pierden el teléfono, y qué canales de comunicación están autorizados.
  • Establece un inventario de qué trabajadores participan en el esquema BYOD y qué sistemas tienen autorizados.
  • Revisa la política al menos una vez al año o cuando cambies de herramientas o de estructura de personal.

Al finalizar la relación laboral

  • Revoca inmediatamente el acceso del ex empleado a todos los sistemas corporativos el mismo día de la baja.
  • Solicita confirmación de que ha eliminado los datos corporativos de su dispositivo personal.
  • Si usabas MDM, ejecuta el borrado remoto del contenedor corporativo de forma coordinada con el trabajador y con constancia documental.
  • Cambia las contraseñas de todos los sistemas a los que tenía acceso, aunque ya hayas revocado su usuario.

¿Y si el trabajador se niega a cumplir la política BYOD?

Un trabajador tiene todo el derecho a negarse a usar su dispositivo personal para trabajar. El teléfono personal es de su propiedad y nadie puede obligarle a convertirlo en una herramienta laboral. Si la empresa necesita que el trabajador tenga acceso a sistemas corporativos en movilidad, la solución es sencilla: proporcionar un dispositivo corporativo.

Lo que no puede hacer el trabajador, si ha firmado una política BYOD y ha dado su consentimiento para participar en el esquema, es incumplir las medidas de seguridad establecidas. El incumplimiento de las medidas de protección de datos en el ámbito laboral puede tener consecuencias disciplinarias, siempre dentro del marco del Estatuto de los Trabajadores y del convenio colectivo aplicable.

Conclusión: BYOD sin política escrita es un problema esperando ocurrir

El uso de móviles personales para trabajar no es bueno ni malo en sí mismo. Es una realidad que muchas PYMEs ya tienen implantada, con o sin quererlo. El problema no es el modelo BYOD, sino la ausencia de reglas claras que protejan tanto a la empresa como al trabajador.

Una política BYOD bien redactada, implementada con las herramientas técnicas adecuadas e integrada en tu documentación de protección de datos, te permite aprovechar las ventajas de este modelo sin asumir riesgos innecesarios. Y si en algún momento la AEPD investiga un incidente relacionado con un dispositivo personal de un empleado, podrás demostrar que actuaste con diligencia.

Si no tienes esta documentación, es el momento de prepararla. No esperes a que ocurra un incidente para preguntarte qué deberías haber hecho.

¿Tus empleados usan su móvil personal para trabajar? Ponlo en regla antes de que sea un problema.

En ConfidencialyDat llevamos años ayudando a empresas y autónomos de Murcia a cumplir con el RGPD de forma sencilla y sin tecnicismos. Solicita tu presupuesto personalizado sin ningún compromiso.

📞 633 705 235 · ✉ confidencialydat@veltaris.es

→ Pide tu presupuesto gratis ahora

← WhatsApp Personal en el Trabajo: Riesgos RGPD para tu Empresa