La Agencia Española de Protección de Datos (AEPD) ha sancionado a MAJOREL SP SOLUTIONS, S.A., como resultado de un procedimiento iniciado por una denuncia presentada en marzo de 2024 por irregularidades en la comunicación de datos personales de trabajadores a la empresa cliente para la que prestaban servicios. El caso se centra especialmente en la comunicación por parte de MAJOREL de los números de teléfono móvil personales de sus empleados a una empresa situada fuera del Espacio Económico Europeo, a fin de habilitar su acceso a herramientas informáticas mediante doble autenticación. Este tratamiento habría afectado a más de doscientos trabajadores y se habría realizado sin base jurídica válida, sin información suficiente y pese a la advertencia del Delegado de Protección de Datos de la propia compañía.
En los hechos acreditados se recoge que, desde febrero de 2024, MAJOREL solicitó a los trabajadores sus teléfonos móviles personales y otros datos identificativos, anotados incluso en hojas en blanco durante sesiones de formación. Posteriormente, esos teléfonos fueron utilizados por la empresa cliente extranjera para enviar credenciales de acceso a sus sistemas. La AEPD constata que 203 de los 364 trabajadores involucrados tenían vinculado su teléfono personal a dicha herramienta y que la empresa era consciente, desde abril de 2024, de que el uso del móvil personal para fines profesionales vulneraba la normativa, según advertencia expresa de su Delegado de Protección de Datos. A pesar de ello, la práctica se mantuvo más de un año, justificándose internamente como una medida temporal por falta de móviles corporativos.
En los fundamentos jurídicos, la AEPD examina el artículo 6.1.b) RGPD (necesidad para la ejecución de un contrato) base que MAJOREL invocaba para justificar la cesión. La Agencia rechazó esta interpretación, señalando que el teléfono personal pertenece al ámbito privado del empleado y no es un medio necesario para la ejecución del contrato laboral, máxime cuando existen alternativas menos intrusivas como la provisión de terminales corporativos. Se recuerda además la jurisprudencia de la Audiencia Nacional y resoluciones previas de la AEPD que consideran ilegal utilizar teléfonos personales como vía de doble factor de autenticación en el sector de contact center. La Agencia concluye que la comunicación de datos carecía de base jurídica y que se vulneró también el principio de minimización y lealtad.
Tras aplicar los criterios de graduación del artículo 83 RGPD (incluyendo la gravedad, número de afectados, categorías de datos cedidos y negligencia persistente) la AEPD propuso una sanción de 80.000 euros. MAJOREL reconoció su responsabilidad y realizó el pago voluntario con ambas reducciones del 20 %, fijándose la sanción definitiva en 48.000 euros. La resolución declara la terminación del procedimiento e impone a la empresa la obligación de cesar el uso de teléfonos personales en un plazo de tres meses y de acreditar su cumplimiento ante la Agencia.