La escena te sonará: equipos que se coordinan por un chat de WhatsApp laboral, responsables que abren grupos para turnos, inventarios o incidencias, y trabajadores a los que se les “pide” usar su móvil personal “de forma temporal”. Todo funciona… hasta que deja de hacerlo.
La reciente sanción a LVMH Iberia por reincorporar el número particular de una empleada a un grupo laboral sin consentimiento (con multa inicial de 70.000 €, finalmente pagada en 42.000 € por pronto pago y reconocimiento) vuelve a poner el foco en cómo debemos gestionar los datos personales en los canales de mensajería corporativos y, también, en el derecho a la desconexión digital.
Qué ha pasado exactamente en el caso LVMH Iberia
Antes de descender a las obligaciones y a las medidas preventivas, conviene fijar los hechos. La AEPD inició procedimiento sancionador a LVMH Iberia, S.L. tras la denuncia de una trabajadora. Durante la relación laboral, la empleada tuvo que usar su teléfono privado “por requerimiento de la empresa”, a la espera de un terminal corporativo que nunca llegó.
La trabajadora comunicó por correo y verbalmente que al comenzar sus vacaciones dejaría de usar su móvil particular para fines laborales y saldría de los grupos de WhatsApp de trabajo. Días después, ya en pleno descanso, alguien de la empresa volvió a añadir su número al grupo laboral. Semanas más tarde fue eliminada… coincidiendo con su despido.
La AEPD apreció tratamiento ilícito del número telefónico y vulneración del derecho a la desconexión digital; la propuesta sancionadora ascendió a 70.000 €, reducida a 42.000 € por reconocimiento y pronto pago.
Este expediente (n.º EXP202310848) es relevante porque describe, con precisión, qué se considera consentimiento válido, qué no lo es y cómo deben probar las empresas su base jurídica cuando integran datos personales (como números de móvil) en herramientas de mensajería.
De hecho, la propia resolución recoge que la empresa anunció la prohibición de usar grupos de WhatsApp sin terminal ICON corporativo; aun así, la Agencia recordó que la medida no subsanaba la falta de consentimiento previo de la trabajadora.
Bases jurídicas y desconexión digital: dos ejes que no se deben descuidar
La licitud del tratamiento (art. 6 del RGPD) exige que cualquier uso de un dato personal (también un número de teléfono) se apoye en una base legal: consentimiento del interesado, ejecución del contrato, cumplimiento de una obligación legal, interés legítimo ponderado, etc.
En el caso analizado, la AEPD concluye que no existía consentimiento ni otra base alternativa que legitimase agregar el móvil personal de la empleada a un grupo laboral de WhatsApp. La empresa, por tanto, no cumplió con el principio de licitud ni con el de responsabilidad proactiva (debe poder acreditar la base jurídica).
Además, aflora con fuerza el derecho a la desconexión digital reconocido en el ordenamiento español (art. 88 LOPDGDD), que obliga a delimitar el uso de dispositivos y canales de comunicación fuera del horario de trabajo, especialmente en vacaciones.
No es un tema nuevo: la Sala de lo Social del Tribunal Supremo ya declaró en 2015 abusiva una cláusula tipo que obligaba al trabajador a facilitar su número de móvil o correo personal para comunicaciones laborales, al considerar que ese “consentimiento” no era libre. Este criterio refuerza la tesis de que no se puede imponer el uso del móvil particular para fines de empresa ni “presuponer” consentimiento por inacción.
WhatsApp y empresa: riesgos de privacidad, seguridad y cumplimiento
El uso de WhatsApp para coordinar turnos, dar consignas o comunicar incidencias plantea tres planos de riesgo que solemos ver en auditorías:
- Privacidad y RGPD. El número de teléfono identifica a una persona; exponerlo en grupos con más miembros de los necesarios o fuera de la base jurídica adecuada es tratamiento ilícito. Además, los metadatos de uso y las fotos de perfil también son datos personales.
- Seguridad y confidencialidad. WhatsApp no es, por defecto, una solución gestionada por la empresa: los contenidos pueden reenviarse, capturarse y persistir en dispositivos personales fuera del control corporativo. Si se tratan datos sensibles (salud, sindicales) o información estratégica, el riesgo se multiplica.
- Gobernanza y trazabilidad. La empresa difícilmente puede auditar accesos, revocar permisos o custodiar historiales cuando la conversación está en móviles particulares. Ante una incidencia, la empresa no puede demostrar fácilmente “quién vio qué y cuándo”.
Cuando además se obliga (o se induce) a usar el móvil personal, se añaden problemas laborales y de prevención de riesgos (costes, fatiga tecnológica, horas fuera de jornada), que colisionan con la desconexión digital y con el deber de dotar de medios corporativos a quien deba estar localizable.
Qué exige el RGPD si quieres usar WhatsApp (o similares) de forma compatible
Empecemos por lo esencial: si una empresa decide usar WhatsApp, Teams, Slack o herramientas similares, debe documentar su decisión y controlarla. Nuestra recomendación (alineada con expedientes recientes) pasa por estas doce medidas prácticas:
1) Política interna clara y comunicada
Define, por escrito, qué canales pueden usarse, por quién, para qué finalidades, con qué límites y horarios. Incluye prohibiciones (p. ej., nada de datos de salud en chats), reglas de retención y salida de grupos. Forma parte del Registro de Actividades y enlaza con el Protocolo de Desconexión.
2) Dispositivos corporativos y segmentación
Dotar de terminal corporativo evita mezclar vida personal y trabajo. Implementa MDM/EMM para cifrar, borrar remoto y restringir copias de seguridad. Evita que la operativa dependa del móvil personal salvo excepciones debidamente documentadas y temporales (y con consentimiento válido).
3) Base jurídica sólida y demostrable
Cuando el chat tenga finalidad estrictamente laboral y necesaria para el puesto, estudia si cabe ejecución de contrato o interés legítimo ponderado; de lo contrario, recaba consentimiento explícito, granular y revocable, informado por escrito. Registra esa base jurídica y el mecanismo de prueba (logs, formularios, DPA).
4) Minimización y acceso por necesidad
Aplica el principio de minimización: solo las personas indispensables deben estar en cada grupo; nada de listas globales. Revisa periódicamente miembros y permisos; establece tiempos de vida de los grupos (alta, modificación y cierre).
5) Desconexión digital operativa
El protocolo de desconexión no es un PDF que duerme en el servidor. Activa silencios automáticos, turnos y guardias con compensación si procede, canales de contingencia para urgencias y un canal de quejas para reportar incumplimientos sin represalias.
6) DPIA/Evaluación de impacto cuando proceda
Si el uso es sistemático, a gran escala o involucra colectivos vulnerables, plantea una EIPD para valorar riesgos (exfiltración, borrado, acceso no autorizado) y medidas (cifrado, control de descarga, pseudonimización). Documenta conclusiones y acciones.
7) Contratos y condiciones con el proveedor
Revisa Términos y DPA aplicables (WhatsApp Business/Cloud API si procede), transferencias internacionales, subencargados y medidas técnicas. Evita la confusión entre WhatsApp personal y soluciones corporativas que sí ofrecen controles.
8) Formación periódica
Forma a mandos intermedios y RR. HH. sobre consentimiento, base jurídica, gestión de grupos, desconexión e incidencias. Refuerza con microlearning y casos reales. Lo ocurrido a LVMH Iberia es un buen caso práctico para explicar qué no debe hacerse.
9) Procedimiento de alta, baja y cambios
Estandariza altas (quién crea, con qué plantilla de texto informativo), bajas automáticas (vacaciones, bajas, cese), comunicación de cambios de rol y archivo del histórico cuando cierra un grupo.
10) Regla de “no capturas” y confidencialidad
Incorpora una política disciplinaria sobre capturas, reenvíos y desplazamiento de conversaciones a canales no autorizados. Activa sellos de agua y recordatorios cuando la plataforma lo permita.
11) Supervisión y auditoría
Establece controles trimestrales: muestreo de grupos, revisión de bases jurídicas, test de desconexión, verificación de bajas en vacaciones y salidas en fin de contrato.
12) Canal ético y gestión de incidencias
Habilita un canal de denuncias externo y protocolos de respuesta (bloqueo, retirada, notificación a AEPD si hay brecha). Este “parachoques” evita que un mal uso acabe en expediente sancionador.
Lecciones jurídicas claras del expediente: lo que acredita la AEPD
La resolución permite extraer varias enseñanzas probatorias muy concretas:
- La AEPD transcribe el correo en que la trabajadora anuncia sus vacaciones y que “ya no seguiré utilizando mi móvil personal para cuestiones laborales… saldré de los grupos a final de mi jornada”. Es una negativa expresa conocida por la empresa.
- Aun así, pocos días después, la empresa vuelve a usar su número personal para reincorporarla a un grupo de WhatsApp laboral.
- En su defensa, LVMH anuncia un protocolo y la prohibición de grupos sin terminal ICON. La AEPD valora la intención pero recuerda que no suple la ausencia de consentimiento de la trabajadora ni legitima el uso ya realizado.
- La Agencia califica la infracción con base en el art. 6.1 RGPD y fija una sanción de 70.000 €, que se reduce al 40 % (a 42.000 €) por reconocimiento de responsabilidad y pronto pago (art. 85 LPACAP).
Estas constataciones refuerzan un mensaje: en protección de datos no basta con “buenas prácticas” de futuro; hay que demostrar que el tratamiento pasado tenía base legítima y que el consentimiento fue válido, previo y documentado.
¿Se puede obligar a dar el móvil o el correo personal?
La jurisprudencia ya había marcado el camino. En 2015, el Tribunal Supremo anuló cláusulas tipo que imponían a los trabajadores entregar su móvil personal o correo para comunicaciones internas.
El razonamiento: ese supuesto “consentimiento” no era libre ni voluntario cuando su denegación podía tener consecuencias laborales. Este criterio es plenamente coherente con el enfoque del RGPD y con el expediente a LVMH Iberia
Buenas prácticas inspiradas en el caso: de la teoría a la acción
- Evitar canales no gestionados cuando haya alternativas corporativas con controles.
- Nunca añadir números personales sin consentimiento o sin base jurídica clara y documentada.
- Establecer umbrales: qué asuntos pueden y no pueden ir por chat (nada de datos sensibles).
- Silenciar por defecto fuera de jornada y activar guardias retribuidas si procede.
- Definir responsables de cada grupo y cierre cuando termina el proyecto.
- Reforzar DPO/Responsable de Seguridad como gatekeepers de nuevas herramientas.
- Mantener pruebas (logs, formularios) que acrediten la base jurídica y la información dada.
Cómo te ayudamos desde Maser Legal (Zaragoza)
Somos un despacho especializado en RGPD/LOPDGDD y ciberseguridad con experiencia implantando políticas y procedimientos para entidades públicas y empresas. Nuestro enfoque:
- Auditoría RGPD con foco en mensajería y desconexión (diagnóstico en 7 días).
- Política de uso y Protocolo de desconexión personalizados (incluye plantillas, checklist y formación a mando intermedio).
- Diseño de modelo de gobernanza de chats y procedimiento de altas/bajas documentado.
- Implantación de canal ético y asesoramiento para gestión de denuncias.
- Acompañamiento ante inspecciones y defensa en procedimientos de la AEPD.
Enlazamos también contenidos prácticos en nuestro blog y servicios asociados (ENS, CAE, planes de igualdad, canal de denuncias y planes de autoprotección), porque la convergencia entre compliance, RH y tecnología es ya inseparable.
Cumplimiento RGPD en WhatsApp laboral: qué hacer hoy
La sanción a LVMH Iberia demuestra que usar WhatsApp sin reglas claras, sin base jurídica y a costa del móvil personal del trabajador expone a la empresa a procedimientos y multas.
La receta es conocida pero exige disciplina: políticas explícitas, terminales corporativos, consentimientos bien informados, desconexión real y controles vivos. Con ese andamiaje, la mensajería puede seguir siendo útil sin convertirse en una fábrica de riesgos.
Si necesitas aterrizar estas medidas en tu organización, te ayudamos a priorizar y implantar un plan de 30 días con resultados verificables.