Cada vez es más común que las empresas ofrezcan a sus empleados la posibilidad de recomprar dispositivos electrónicos (teléfonos móviles, tablets, ordenadores) destinados en un principio al uso dentro de la empresa para que pasen a ser equipos personales.
Una práctica que, sin embargo, puede acarrear problemas. Es el caso de un proceso de investigación de la Agencia Española de Protección de Datos (AEPD) que ha acabado con una multa a la entidad financiera BBVA.
El pasado mes de febrero de 2023 este organismo recibió una reclamación dirigida contra en Banco Bilbao Vizcaya Argentaria. La misma reflejaba que un empleado de la empresa que cesó en su relación laboral con la misma recibió una propuesta para adquirir su terminal corporativo para uso personal.
De esta manera, el dispositivo pasaría a ser suyo a todos los efectos para utilizarlo como quisiera. El empleado aceptó la propuesta, que entró en vigor el 9 de septiembre de 2021, pero el 23 de junio de 2022 el terminal dejó de estar activo. Al tratar de configurarlo, el ex empleado de BBVA descubre que está administrado en remoto por personal del organismo, y para acceder al mismo debía facilitar las credenciales corporativas, por lo que no podía hacer uso del mismo.
La AEPD estima en la resolución que BBVA vulneró el Reglamento General de Protección de Datos (RGPD) y le impuso una multa de 160.000 euros, con un 20% de descuento si el banco la abonaba voluntariamente, cosa que así sucedió
"Puesta en contacto con la parte reclamada, le responde adjuntándole un documento con los pasos a seguir para restaurar el terminal a valores de fábrica, como solución para poder reactivarlo, con la pérdida de información que dicha acción conlleva", explica la resolución, a la que ha tenido acceso este diario. Además, apunta que se "solicita por correo electrónico ayuda para reactivar el terminal y la información en él contenida, al que se responde indicando que si bien habitualmente, antes de la adquisición por el empleado, se procede al borrado completo del dispositivo no se llevó a cabo en su debido momento (en septiembre de 2021, sin previo aviso, y sin posibilidad de realizar copia de seguridad por su parte)".
El documento apunta que el usuario, tras meses usando el equipo de forma personal, veía cómo la única opción que le ofrecía era BBVA era el reseteo de fábrica del dispositivo, con la consiguiente pérdida de datos que esto suponía.
160.000 euros de multa
En total, el ex empleado de BBVA estuvo nueve meses utilizando el dispositivo móvil (no se concreta si es un teléfono en la resolución) como equipo personal, tiempo tras el cual, como decimos, descubrió que el control de la administración del mismo corría a cargo de la empresa. Hay que destacar que el usuario no procedió a restaurarlo de fábrica con la esperanza de poder tener mantener la información.
La AEPD estima en la resolución que BBVA vulneró el Reglamento General de Protección de Datos (RGPD) e impuso una multa de 160.000 euros, con un 20% de descuento si el banco la abonaba voluntariamente, cosa que así sucedió.
"Es evidente que los datos de carácter personal de la reclamante fueron suprimidos o eliminados del dispositivo adquirido sin estar autorizado para llevar a cabo el citado tratamiento (artículo 83.2.a) del RGPD)", refleja la resolución. Por último,destaca que "podría entenderse que extinguida la relación laboral procedería la eliminación de las aplicaciones corporativas pero no la supresión de toda la información contenida en el terminal, especialmente la de carácter privado o personal. Conectada también con el grado de diligencia que el responsable del tratamiento está obligado a desplegar en el cumplimiento de las obligaciones que le impone la normativa de protección de datos puede citarse la SAN de 17/10/2007".