En los últimos años son muchas las empresas que han reforzado sus medidas de seguridad para proteger el acceso a sus sistemas o aplicaciones corporativas, y dentro de esas medidas, el doble factor de autenticación o 2FA se ha convertido en una herramienta estrella.
El uso de usuario y contraseña se ha quedado corto en muchos escenarios y cada vez es más frecuente el robo de credenciales y los accesos no autorizados. Incluso las campañas de phishing hacen necesario implantar mecanismos adicionales que permitan verificar que quien accede a una cuenta corporativa es realmente quien dice ser.
De hecho, desde una perspectiva de seguridad, el doble factor de autenticación encaja con el deber general del responsable de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel adecuado al riesgo, conforme a lo establecido en el artículo 32 del RGPD. También conecta con el principio de responsabilidad proactiva previsto en el artículo 5.2 del RGPD y con la obligación de aplicación de medidas organizativas y técnicas adecuadas desde el diseño y por defecto, en los términos del artículo 25 del RGPD.
Además, en determinados sectores o entornos, la exigencia puede venir reforzada por normativa específica de ciberseguridad, como es el caso de la NIS2, la cual incluye dentro de las medidas de gestión de riesgos de ciberseguridad el uso de soluciones de autenticación de doble factor.
Hasta aquí poco debate debería haber, pues el 2FA es una medida cuanto menos recomendable y en determinados entornos necesaria desde una perspectiva de ciberseguridad y cumplimiento normativo. Pero la cuestión no es tanto implantar 2FA, sino cómo se implanta.
El móvil personal como herramienta de trabajo
Una práctica todavía bastante habitual en algunas empresas y organizaciones consiste en “exigir” a las personas trabajadoras que utilicen su teléfono móvil personal para recibir códigos de verificación o instalar aplicaciones de autenticación para validar el acceso a herramientas corporativas.
A primera vista, esto puede parecer una solución sencilla y económica, reforzando la empresa su seguridad y el trabajador únicamente tiene que confirmar un código o aceptar una notificación en su dispositivo, sin más. Sin embargo, desde un punto de vista de protección de datos, la cuestión no es tan simple.
En una relación laboral, la empresa ocupa una posición de dirección y organización, mientras que la persona trabajadora se encuentra en una situación de “dependencia”. Así se desprende del propio artículo 1.1 del Estatuto de los Trabajadores, que define la relación laboral como aquella en la que los trabajadores prestan servicios retribuidos por cuenta ajena y dentro del ámbito de la organización y dirección del empleador.
Precisamente por esto, cuando se pide al trabajador que utilice su dispositivo personal para fines laborales, no basta con decir que ha dado su consentimiento.
Con todo ello, nos encontramos con que ese dispositivo personal se convierte en un medio necesario para que el trabajador lleve a cabo sus funciones, accediendo a herramientas de trabajo. Es por ello que la libertad real del trabajador para negarse puede quedar bastante limitada.
El consentimiento del trabajador no siempre es una solución válida
En materia de protección de datos el consentimiento debe ser libre, específico, informado e inequívoco, como así se recoge en el artículo 4.11 del RGPD y se refuerza con el artículo 7 de mismo texto legal, el cual regula las condiciones aplicables al consentimiento. A nivel nacional, el artículo 6 de la LOPD también desarrolla el tratamiento basado en el consentimiento del afectado. Pero en el ámbito laboral hay que analizarlo con especial cautela, precisamente por el desequilibrio existente entre empresa y trabajador.
Si una persona trabajadora necesita validar accesos mediante su teléfono móvil personal para poder desempeñar su puesto de trabajo, resulta difícil sostener que su consentimiento sea plenamente libre cuando no se le ofrece una alternativa real.
No es lo mismo ofrecer varias alternativas razonables que establecer el móvil personal como única vía de acceso. Por lo tanto, la valoración debe hacerse caso por caso, atendiendo a la finalidad, información facilitada, base jurídica utilizada, proporcionalidad de la medida y existencia o no de alternativas reales.
Aquí cobran especial relevancia los principios del artículo 5.1 del RGPD, en particular los principios de licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos y responsabilidad proactiva. También deberá valorarse la base jurídica del artículo 6 del RGPD por cuanto pretenda invocarse el tratamiento, evitando acudir automáticamente al consentimiento, cuando por el contexto laboral este pueda no ser plenamente libre.
La empresa debe asumir los medios necesarios
Esta cuestión no solo afecta a la normativa de protección de datos, sino que también conecta directamente con los principios de la relación laboral. Si la empresa decide implantar una medida de seguridad para proteger sus sistemas, lo razonable es que también asuma los medios necesarios para aplicarla; de lo contrario se corre el riesgo de trasladar al trabajador una carga que corresponde a la organización.
El principio de ajenidad propio de la relación laboral refuerza esta idea, pues precisamente se indica que la persona trabajadora presta servicios dentro del ámbito de organización y dirección de la empresa, pero no debería verse obligada a aportar medios personales para poder ejecutar correctamente su prestación laboral.
A mayor abundamiento, la LOPD reconoce expresamente derechos digitales en el ámbito laboral, entre ellos el derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral, regulado en su artículo 87. Aunque dicho precepto se refiere principalmente al acceso empresarial a dispositivos puestos a disposición de los trabajadores, evidencia que el uso de medios tecnológicos en el entorno laboral no puede desvirtuarse de los derechos de intimidad y protección de datos de las personas trabajadoras.
En este sentido, la utilización obligatoria del teléfono móvil personal como mecanismo de doble factor de autenticación puede resultar problemática cuando no existe una alternativa proporcionada. Para este tipo de análisis, el apoyo especializado en Privacidad puede resultar especialmente útil.
La posición de la AEPD
La Agencia Española de Protección de Datos viene analizando con especial cautela este tipo de prácticas, especialmente cuando implican el uso de medios personales de la plantilla para fines estrictamente laborales.
En este sentido, resulta de especial relevancia la Resolución PS/00456/2025, dictada en el marco del expediente EXP202406971, relativa al uso del teléfono móvil personal de trabajadores como mecanismo de doble factor de autenticación en el entorno laboral. Según la información disponible, la AEPD declaró la existencia de infracción y la sanción inicial de 80.000 euros, la cual quedó reducida a 48.000 euros por el reconocimiento de responsabilidad y pago voluntario.
La idea de fondo es que el 2FA puede ser una medida adecuada, pero su implantación no debe hacerse a costa de trasladar al trabajador obligaciones o cargas que corresponden a la organización.
Ahora bien, conviene evitar lecturas excesivamente estrictas, pues no puede afirmarse que cualquier uso de una aplicación de autenticación en un dispositivo personal sea automáticamente contrario a la norma.
De hecho, en el expediente AI-00074-2024, la AEPD analizó un supuesto relacionado con mecanismos de autenticación y acceso remoto en el ámbito de la Administración de Justicia, en el que se tuvo en cuenta, entre otros extremos, la exigencia de doble factor de autenticación derivada del ENS para accesos desde zonas no controladas, como el caso del acceso a través de Internet o en modalidad teletrabajo.
Ello demuestra que la cuestión no es el 2FA en sí mismo, sino las condiciones concretas de implantación.
Alternativas que deberían valorarse
Antes de imponer el uso del teléfono móvil personal, la empresa debería valorar otras soluciones menos invasivas o más coherentes con la relación laboral.
Por ejemplo, podría facilitar teléfonos corporativos, utilizar tokens físicos, llaves de seguridad, autenticadores vinculados a equipos corporativos o mecanismos equivalentes que no dependan del dispositivo privado de la persona trabajadora.
Este análisis y documentación resulta especialmente importante desde la perspectiva del artículo 5.2 del RGPD, el cual exige al responsable ser capaz de demostrar el cumplimiento de los principios del tratamiento, así como del artículo 24 del RGPD por cuanto obliga al responsable a aplicar medidas técnicas y organizativas apropiadas teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento.
Para revisar este tipo de medidas y su encaje en la organización, la empresa puede apoyarse en un servicio especializado de Privacidad.
Seguridad y cumplimiento deben ir de la mano
El 2FA es una medida necesaria en muchos entornos y desde luego, es una buena práctica de seguridad, pero una medida de seguridad mal implantada puede generar un problema de cumplimiento.
La finalidad de proteger los sistemas corporativos es legítima, lo que debe cuidarse es que esa finalidad no se alcance mediante una solución que invada innecesariamente la esfera personal del trabajador o que le obligue a utilizar medios propios para fines empresariales.
Podemos decir finalmente que la seguridad de la información no puede construirse trasladando al trabajador una carga que corresponde asumir a la empresa. La organización debe proteger sus sistemas, pero debe hacerlo de forma proporcionada y respetuosa con los derechos de las personas trabajadoras.
Si tu organización está revisando sus medidas de autenticación, sus políticas de acceso o su adecuación en materia de protección de datos, el servicio de Privacidad de Inprosec puede ayudar a analizar el contexto y definir una implantación adecuada.