Categorías: Protección de datos

WhatsApp de trabajo en tu móvil personal: guía RGPD

Partamos de una idea sencilla: agilidad no puede equivaler a pérdida de control sobre los datos personales. Muchas organizaciones usan grupos de mensajería para turnos, avisos o incidencias. El problema aparece cuando el canal invade el móvil personal, surgen mensajes fuera de horario o se comparte información que debe permanecer en sistemas corporativos.

Aquí operan el RGPD y la LOPDGDD, con obligaciones claras y consecuencias si se impone el uso del número personal.

Solicita asesoramiento en protección de datos

Qué se está tratando realmente cuando usas WhatsApp para coordinar un equipo

Detrás de un grupo aparentemente informal existe un tratamiento de datos con varias capas. No solo se usa el número de teléfono: también se exponen foto y nombre de perfil, la última conexión o los metadatos de actividad.

Además, los mensajes pueden contener datos personales de terceras personas (clientes, pacientes, alumnado, proveedores) o datos laborales del propio equipo (turnos, bajas, incidencias, productividad).

Ese tratamiento debe apoyarse en una base jurídica válida, respetar la minimización, aplicar medidas de seguridad y permitir el ejercicio de derechos. Además, antes de crear o usar estos grupos, la empresa debe cumplir el deber de información (art. 13 RGPD): finalidad, base jurídica, destinatarios (los miembros del grupo ven número, nombre y foto), plazos de conservación y cómo ejercer derechos.

Si el canal se usa en móvil personal, la empresa ha de justificar por qué no emplea medios corporativos y compensar los riesgos: información previa, normas de uso, alternativa equivalente para quien no quiera exponer su número y protocolos de horarios

Bases legales que suelen invocarse (y dónde fallan si no se documentan)

Antes de crear un grupo, pregúntate qué base legitima el uso del canal y documenta por qué esa base es la adecuada frente a otras opciones menos intrusivas. Aterrizamos cada una con requisitos, ejemplos válidos y errores típicos.

Consentimiento

Solo es válido si el uso es realmente voluntario, con alternativa equivalente (correo/intranet/app) y posibilidad de revocación sin consecuencias.

En el ámbito laboral hay desequilibrio entre partes, por lo que el consentimiento rara vez es “libre” para canales estructurales.

Evítalo como base principal para grupos recurrentes o obligatorios.

Cumplimiento del contrato u organización del trabajo

La empresa puede requerir un canal ágil para coordinar tareas, pero necesidad no equivale a comodidad. Si hay herramientas corporativas que cumplen la misma finalidad con retención, permisos y registro, será injustificable sostener grupos en móviles personales como opción “indispensable”.

Interés legítimo

El interés legítimo solo es defendible si supera un test de ponderación documentado y comunicado. En la práctica, no legitima el uso del número personal cuando existen alternativas corporativas menos intrusivas o el empleado se opone.

Si se usa mensajería, prioriza canales corporativos; en móviles personales, solo cabrían usos puntuales y voluntarios, con alternativa equivalente, normas horarias y prohibición de datos sensibles.

Móvil personal y móvil corporativo: dos contextos que no deben gestionarse igual

El corazón del problema suele estar en el dispositivo y la línea que se usan. No es lo mismo chatear desde un terminal corporativo gestionado que desde el móvil privado. La base jurídica, los controles técnicos y las obligaciones cambian.

Si el canal se usa con móvil personal (no recomendado)

  • Intimidad: exposición del número personal, foto y nombre a terceros.
  • Disponibilidad: mensajes fuera de horario, festivos o vacaciones.
  • Seguridad: copias fuera del gobierno corporativo, reenvíos/capturas incontrolables.
  • Condiciones mínimas si, excepcionalmente, se permite: información previa (art. 13 RGPD), alternativa equivalente, voluntariedad real, test de ponderación y prohibición de datos sensibles. Si hay oposición, debe habilitarse canal corporativo.

Con móvil o línea corporativa (o BYOD bajo MDM), es más sencillo amparar el uso en el cumplimiento contractual y la organización del trabajo. Aun así, la mensajería de terceros carece de retención/trazabilidad comparables a soluciones empresariales, por lo que no debe emplearse para datos sensibles ni procesos críticos. Requisitos: MDM, cifrado, bloqueo, borrado remoto, política de uso y formación.

Desconexión digital: reglas claras

El art. 88 LOPDGDD reconoce el derecho a la desconexión digital. En mensajería, esto exige pautas operativas concretas:

  • Ventanas horarias: no se envían mensajes fuera de jornada salvo guardias formalizadas.
  • Tipología de avisos: lo urgente sigue un protocolo (y se compensa); lo ordinario se comunica en horario.
    Liderazgo ejemplar: mandos y dirección no escriben fuera de horario salvo necesidad real.
  • Higiene digital: se recomienda silenciar grupos y desactivar previsualizaciones para priorizar el descanso.

Convertirlo en una política viva exige formación y seguimiento. El documento existe para aplicarse, no para archivar.

Política interna de mensajería: plantilla de contenidos que funciona

Una política eficaz es concreta, breve y aplicable. Recomendamos incluir:

  1. Finalidad y alcance: Define para qué sí se usa (avisos operativos, coordinación básica) y para qué no (datos de salud, nóminas, evaluaciones, disciplinarios).
  2. Gobierno del canal: Quién autoriza grupos, quién los administra, cómo se nominan, cuándo se cierran y cómo se gestionan altas/bajas.
  3. Minimización: Solo participantes necesarios; incorporación de personas con justificación y registro.
  4. Reglas de uso: Prohibido compartir datos especiales (salud, afiliación sindical, orientación sexual, creencias, etc.) y cualquier dato sensible por mensajería generalista. Horarios, tono, prohibición de reenvíos y de captura capturas fuera del ámbito laboral, derivación de documentos a sistemas corporativos.
  5. Seguridad: Requisitos mínimos de bloqueo, actualizaciones, verificación en dos pasos, no uso de copias en nubes personales.
  6. Desconexión digital: Ventanas de no comunicación, guardias, canal de emergencias y formación específica para mandos.
  7. Cierre y conservación: Cierre del grupo al finalizar el proyecto, borrado de contenidos y protocolo de conservación en sistemas corporativos cuando proceda.

Reglas de uso: Prohibido compartir datos especiales (salud, afiliación sindical, orientación sexual, creencias, etc.) y cualquier dato sensible por mensajería generalista. Horarios, tono, prohibición de reenvíos y de capturas…

Alternativas prácticas a la mensajería generalista para el día a día

No existe la herramienta perfecta, pero sí soluciones con mejor encaje jurídico para las necesidades habituales:

  • Comunicación interna: suites corporativas con SSO, MFA, permisos y retención.
  • Turnos y cuadrantes: aplicaciones específicas que permiten avisos sin exponer números.
  • Incidencias: sistemas de ticketing con registro y asignación.
  • Documentación: intranet o gestor documental con control de versiones y accesos.

El criterio es sencillo: gobierno del dato, seguridad y trazabilidad acordes al riesgo. Si una necesidad exige retención, permisos granulares, registro y eDiscovery, la mensajería generalista no es adecuada.

Preguntas frecuentes que nos hacen empresas

¿Podemos obligar a toda la plantilla a participar?

Con números personales, no se debe obligar. Facilita línea/terminal corporativo o una alternativa equivalente en sistemas internos. Si el canal es voluntario, deja constancia de la información previa (art. 13 RGPD) y, en su caso, del test de ponderación o del consentimiento revocable, con medidas compensatorias (normas horarias, canal alternativo).

¿Qué hacemos con los mensajes fuera de horario?

Define guardias, criterios de urgencia, compensación y ventanas de no comunicación conforme al art. 88 LOPDGDD. Lo ordinario se gestiona en horario laboral. Formación a mandos para no iniciar conversaciones fuera de horario salvo necesidad justificada

¿Cómo tratamos solicitudes de derechos sobre mensajes?

Establece un procedimiento para acceso, oposición, supresión y limitación. Si se solicita salir del grupo o ocultar el número personal, atiende la petición, documenta la baja y limita la conservación a lo estrictamente necesario en sistemas corporativos (no en el historial de la app)

¿Y si ya tenemos decenas de grupos activos?

Haz inventario y clasificación por finalidad/riesgo, define calendario de migración a canales corporativos (turnos, incidencias, documentación) y cierra los grupos innecesarios. Comunica el plan, ofrece formación y registra las decisiones (base jurídica, información, medidas).

Comunicación laboral por mensajería: guía práctica y llamada a la acción

La mensajería puede ser aliada si hay marco claro: para qué sirve, quién participa, qué no se comparte, cuándo se escribe y cómo se protege la información. Con política aplicada, formación y canales corporativos, evitas imponer el uso del número personal, reduces riesgos y respetas la desconexión digital.

¿Quieres que auditemos tus canales y migremos a opciones corporativas seguras?

Te ayudamos a revisarlo y dejarlo listo
2 semanas hace

Entradas recientes

Llamadas spam en España: guía legal y soluciones

Las llamadas spam siguen interrumpiendo reuniones, comidas y, a veces, el descanso. Pese a los…

4 días hace

Publicar deudas en la web: error que cuesta sanciones

Publicar en abierto los datos de los vecinos y sus deudas (ya sea en una…

3 semanas hace

Factura electrónica obligatoria y RGPD: lo que Hacienda y la AEPD exigen

La factura electrónica obligatoria ya no es una tendencia: es una realidad que afectará a…

1 mes hace

AEPD y sistemas de IA prohibidos: qué debes hacer ya

La conversación regulatoria sobre inteligencia artificial ha dejado de ser teórica. La Agencia Española de…

1 mes hace

Loro Parque, multado por una huella dactilar: lo que exige el RGPD

Una resolución que marca tendencia. La Agencia Española de Protección de Datos (AEPD) ha ratificado…

2 meses hace

AEPD lo deja claro: DNI sin copias en hoteles

AEPD lo deja claro: DNI sin copias en hoteles Cada verano se repite la misma…

2 meses hace