Dos resoluciones recientes de la Agencia Española de Protección de Datos (AEPD) —sanciones de 2.000€ y 70.000€— confirman que incluir a un trabajador en un grupo corporativo de WhatsApp o enviarle mensajes laborales a su número privado constituye un tratamiento de datos que exige una base de legitimación. Las empresas que obvien ese requisito se exponen a fuertes multas y a la obligación de implantar medidas correctoras.
La mensajería instantánea se ha convertido en la vía rápida para organizar turnos, repartir tareas o resolver incidencias, pero su uso encierra un riesgo jurídico que la Agencia Española de Protección de Datos acaba de poner negro sobre blanco. En dos expedientes hechos públicos en las últimas semanas, la autoridad sanciona a sendas compañías por añadir números personales de empleados a grupos de WhatsApp sin permiso previo:
- Centro especial de empleo andaluz: multa de 2.000 € por crear un chat interno con el teléfono particular de un teleoperador recién contratado.
- Empresa del sector retail de lujo: multa de 70.000 € (rebajable a 42.000 € por pronto-pago) tras reincorporar a una trabajadora al grupo en su propio día libre, pese a su oposición reiterada y a haber solicitado un terminal corporativo.
En ambos casos la AEPD concluye que el número de móvil es un dato personal; su tratamiento (inclusión en el chat) necesita una base de legitimación válida: consentimiento expreso, cumplimiento de un contrato que lo exija claramente o interés legítimo ponderado. La agencia recuerda que el consentimiento en el ámbito laboral debe ser libre, algo difícil de acreditar cuando el trabajador se encuentra en posición de subordinación.
Qué deben hacer las empresas para evitar sanciones
- Pedir autorización formal y revocable
Antes de usar el teléfono privado para fines laborales, recoja por escrito el permiso del empleado, informándole de las finalidades y de su derecho a retirarlo en cualquier momento. - Facilitar dispositivos corporativos
Si la operativa requiere mensajería móvil, el método más seguro es entregar un smartphone de empresa; el terminal es corporativo y los chats se consideran herramienta de trabajo. - Crear canales alternativos
Boletines internos, intranets o aplicaciones propias minimizan la necesidad de acudir a WhatsApp con datos personales. - Limitar el horario de envío
Los mensajes fuera de jornada vulneran no solo el RGPD sino también el derecho a la desconexión digital contemplado en el Estatuto de los Trabajadores y la Ley de Trabajo a Distancia. - Política interna de comunicaciones
Defina por escrito quién administra los grupos, qué información puede circular y cómo se gestiona la baja de un miembro que revoca su consentimiento.
El precedente de la “vía urgente” en teletrabajo
El Tribunal Supremo (STS 2-4-2024) admitió que, en teletrabajo superior al 30 %, la empresa pueda solicitar el número personal solo para urgencias debidamente acreditadas. AEPD y Supremo coinciden: fuera de ese escenario excepcional, el móvil privado no puede imponerse.
Más inspecciones en 2025-2026
La propia AEPD adelantó en su Plan Estratégico que reforzará la vigilancia sobre apps de mensajería en el entorno laboral, igual que ya lo hace sobre videovigilancia o geolocalización. Las sanciones ejemplarizantes pretenden enviar un mensaje claro: el “todo vale” en WhatsApp ha terminado y las compañías deben adaptar sus protocolos a la normativa europea de protección de datos.
Empresas y departamentos de RR. HH. disponen de tiempo para revisar prácticas y evitar sustos económicos que, como demuestra la sanción récord de 70.000 €, pueden comprometer seriamente su reputación y su cuenta de resultados.
Spanish 
English