Derecho y empresa en entornos digitales

Transcripción de voz con IA: la pregunta no es si funciona, sino si tu organización está preparada

por

La IA transcribe, pero la responsabilidad sigue siendo humana


La creciente adopción de herramientas de inteligencia artificial para transcribir reuniones, llamadas o conversaciones está transformando la forma en que las organizaciones gestionan la información. Agilidad, automatización y eficiencia son ventajas evidentes. Sin embargo, detrás de esa mejora operativa existe una cuestión que muchas empresas todavía no se han planteado: ¿quién responde cuando la tecnología se equivoca?


La reciente reflexión de la AEPD recuerda una idea esencial: utilizar IA para transcribir voz no implica trasladar la responsabilidad al proveedor tecnológico. La organización que decide implantar estas herramientas sigue siendo responsable del tratamiento y de sus consecuencias.


Cuando un error de transcripción deja de ser un error menor


Los errores pueden tener un impacto mucho mayor de lo que parece. Una transcripción puede atribuir una declaración a la persona equivocada, eliminar matices relevantes o registrar datos incorrectos. Un nombre mal identificado, un cargo erróneo o una frase sacada de contexto pueden afectar a la calidad de la información y, en determinados escenarios, generar riesgos jurídicos y de cumplimiento.


La cuestión no es si la tecnología falla—porque puede hacerlo—, sino si la organización ha previsto qué ocurrirá cuando suceda.


Transparencia, conservación y derechos: riesgos que suelen pasar desapercibidos


La transparencia también ocupa un papel central. Las personas deben conocer de forma clara cuándo su voz está siendo tratada mediante sistemas de IA, con qué finalidad y qué uso posterior puede darse a esa información.


Además, es necesario revisar aspectos que con frecuencia pasan desapercibidos: ¿las grabaciones se conservan más tiempo del necesario?, ¿los datos se utilizan para reentrenar modelos?, ¿existen mecanismos sencillos para rectificar errores o ejercer derechos?


La experiencia demuestra que muchas organizaciones incorporan soluciones de transcripción automática como una funcionalidad más dentro de plataformas colaborativas o herramientas de productividad, sin analizar realmente las implicaciones de privacidad y gobernanza que incorporan.


La verdadera pregunta: ¿ha revisado tu organización todo lo que debería?


Quizá la pregunta relevante ya no sea si utilizar o no estas herramientas. La cuestión es otra: ¿tu organización ha revisado realmente todo lo que debería revisar?


  • ¿Ha analizado el papel y las responsabilidades del proveedor?
  • ¿Existen protocolos para validar y corregir transcripciones erróneas?
  • ¿Se han definido periodos adecuados de conservación?
  • ¿Se informa correctamente a empleados, clientes o participantes?
  • ¿Se han evaluado los riesgos desde una perspectiva de privacidad y cumplimiento?

La inteligencia artificial puede aportar una enorme ventaja competitiva, pero la innovación sostenible exige algo más que implementar tecnología: requiere hacerlo con garantías.


Las organizaciones que obtendrán mayor valor de estas herramientas no serán necesariamente las que adopten más IA, sino aquellas que hayan dedicado tiempo a entender sus implicaciones y a implantarla con garantías.


Como siempre, cuidad los datos y ¡cuidaos!

Evidencias digitales: el gran olvidado del cumplimiento

por

Muchas organizaciones han avanzado en los últimos años en materia de cumplimiento: políticas internas, protocolos, formaciones, cláusulas, procedimientos… El problema es que, en demasiados casos, todo eso sigue viviendo en documentos estáticos que rara vez se conectan con la operativa real de la empresa.


Y ahí aparece uno de los mayores riesgos actuales: no poder demostrar qué se hizo, cuándo, por quién y con qué controles.


El cumplimiento ya no se mide solo por lo que una organización tiene documentado, sino por su capacidad para acreditar que realmente funciona.


1. El cumplimiento ya no es un PDF


Durante años, muchas empresas han entendido el compliance como una cuestión principalmente documental: disponer de políticas, manuales o procedimientos.


El contexto ha cambiado; normativas como el RGPD, el Reglamento Europeo de IA, los requisitos de ciberseguridad o los sistemas internos de información exigen algo más: trazabilidad y capacidad de prueba.


No basta con afirmar que existe un control, sino que hay que poder demostrar: cuándo se aplicó, quién intervino, qué decisión se tomó, y qué evidencias lo respaldan.


2. El verdadero problema aparece cuando ocurre un incidente


La diferencia entre un cumplimiento «formal» y uno realmente operativo suele aparecer en el peor momento: una inspección, una reclamación, una brecha de seguridad o un conflicto laboral.


En ese escenario, las preguntas cambian rápidamente:


  • ¿puedes acreditar que se informó al empleado?
  • ¿existe registro de la autorización?
  • ¿quedó documentada la revisión humana?
  • ¿se puede reconstruir qué ocurrió?

Muchas veces, la respuesta es incompleta porque la organización tenía políticas… pero no evidencias.


3. De la documentación estática a sistemas defendibles


El reto actual no es generar más documentación, sino construir sistemas que permitan convertir el cumplimiento en algo aplicable, medible y defendible.


Esto afecta prácticamente a todas las áreas:


  • protección de datos,
  • uso de inteligencia artificial,
  • ciberseguridad,
  • canal interno de denuncias,
  • desconexión digital,
  • controles laborales o investigaciones internas.

En todos estos ámbitos, el elemento diferencial ya no es solo «tener normas», sino contar con mecanismos que permitan acreditar cómo se ejecutan realmente.


4. La evidencia digital como elemento estratégico


Muchas organizaciones siguen viendo las evidencias digitales como un aspecto técnico o secundario. Sin embargo, cada vez tienen más peso desde el punto de vista jurídico y operativo.


Registros de actividad, logs, autorizaciones, revisiones, trazabilidad de accesos o validaciones internas son elementos que permiten demostrar diligencia y control.


Y esto tiene un impacto directo:


  • reduce exposición ante sanciones,
  • fortalece la posición de la empresa ante conflictos,
  • y mejora la capacidad de respuesta ante incidentes.

Conclusión: el cumplimiento que no se puede probar es cada vez menos útil


Las organizaciones ya no necesitan únicamente políticas bien redactadas. Necesitan estructuras que permitan demostrar que esas políticas se aplican de forma efectiva.


Porque el verdadero cambio de paradigma está aquí: pasar de un cumplimiento basado en documentos a un cumplimiento basado en evidencias.


Y en un entorno donde confluyen IA, protección de datos, ciberseguridad y relaciones laborales, esa capacidad de prueba empieza a convertirse en una ventaja competitiva.


La pregunta clave: Si mañana tu organización tuviera que justificar una decisión, una actuación o un control concreto… ¿podría demostrarlo con evidencias claras y trazables, o solo con un procedimiento en PDF?


Como siempre, cuidad los datos y ¡cuidaos!

La política de IA que funciona: menos normas, más circuito

por

En muchas organizaciones, la respuesta al auge de la inteligencia artificial ha sido inmediata: redactar una política interna y distribuirla en formato PDF. El problema es que, en la práctica, una política que no se integra en la operativa diaria termina siendo irrelevante. 


Mientras tanto, el uso de herramientas de IA—muchas veces fuera de los canales autorizados—sigue creciendo. El fenómeno del Shadow AI no se corrige con prohibiciones generales, sino con alternativas viables. 


La Agencia Española de Protección de Datos (AEPD), en su Política de uso de IA generativa, apunta hacia un enfoque más práctico: no se trata solo de regular, sino de establecer un marco operativo que permita el uso seguro de estas herramientas. 


El error habitual: políticas que no se pueden aplicar 


Muchas políticas de IA comparten un problema común: están bien redactadas, pero mal aterrizadas. Prohíben usos genéricos o imponen restricciones amplias, sin ofrecer soluciones concretas para el día a día. 


El resultado es previsible: los empleados siguen necesitando estas herramientas para ser más eficientes, y acaban utilizándolas fuera de los canales corporativos. 


Esto no solo incrementa el riesgo, sino que reduce la capacidad de la organización para controlar y supervisar el uso real de la IA. 


Lo que sí funciona: crear un circuito de autorización 


Frente a este enfoque, la AEPD propone una lógica distinta: permitir el uso de la IA, pero dentro de un marco estructurado y controlado. 


Una política eficaz no es solo un documento, sino un circuito de autorización y gobernanza que incluya: 


  • Casos de uso definidos: qué se puede hacer y en qué contextos.  


  • Usuarios autorizados: quién puede utilizar determinadas herramientas y para qué fines.  


  • Herramientas validadas: qué soluciones han sido evaluadas desde el punto de vista de protección de datos y seguridad.  


  • Supervisión humana: revisión en aquellos procesos donde exista mayor impacto o riesgo.  


Este enfoque permite canalizar el uso de la IA en lugar de intentar bloquearlo. 


Menos prohibición, más alternativa segura 


Uno de los mensajes clave es que prohibir herramientas rara vez funciona. Cuando no existe una alternativa clara, los usuarios buscarán soluciones por su cuenta. 


Por el contrario, cuando la organización ofrece un «camino fácil y seguro»—herramientas aprobadas, criterios claros y soporte interno—el uso no autorizado disminuye de forma natural. 


Este cambio de enfoque transforma el problema: el Shadow AI deja de ser una cuestión disciplinaria para convertirse en un problema de diseño organizativo. 


Gobernanza de IA: control sin fricción 


El reto para las empresas no es elegir entre control o productividad, sino integrar ambos elementos. Una política bien diseñada permite mantener el control sobre los datos y los riesgos; garantizar el cumplimiento del RGPD; y, al mismo tiempo, facilitar el trabajo diario de los equipos.  


La clave está en construir un sistema donde el uso correcto de la IA sea más sencillo que el uso no autorizado. 


Conclusión: la política útil es la que se usa 


En el contexto actual, tener una política de IA ya no es suficiente. Lo relevante es que esa política sea operativa, comprensible y aplicable. 


Las organizaciones que entienden esto dejan de ver la IA como un riesgo que hay que limitar y empiezan a gestionarla como una capacidad que hay que gobernar. 


Porque, en la práctica, la mejor política no es la más restrictiva, sino la que consigue algo mucho más difícil: ordenar el uso de la IA sin frenar la productividad. 


 Como siempre, cuidad los datos y ¡cuidaos! 

Shadow AI en el trabajo: cómo supervisar sin cruzar la línea de la vigilancia

por

El uso de herramientas de inteligencia artificial en el entorno laboral—muchas veces fuera de los canales oficiales—está obligando a las empresas a replantear sus mecanismos de control. El fenómeno del Shadow AI plantea un dilema claro: las organizaciones necesitan supervisión, pero un enfoque excesivo puede derivar en conflictos laborales y riesgos legales. 


La Agencia Española de Protección de Datos (AEPD), en su Guía sobre protección de datos en las relaciones laborales, ofrece un marco claro: el control es legítimo, pero debe respetar los principios de proporcionalidad, transparencia y minimización. 


El punto de partida: el control empresarial es legítimo 


El Estatuto de los Trabajadores reconoce la facultad de la empresa para adoptar medidas de vigilancia y control con el fin de verificar el cumplimiento de las obligaciones laborales. Este control incluye el uso de herramientas digitales y, por extensión, el uso que los empleados hacen de tecnologías como la inteligencia artificial. 


Ahora bien, como recuerda la AEPD, este control debe ejercerse dentro de los límites del RGPD y la LOPDGDD. Es decir, no todo vale: cualquier medida debe ser proporcionada, justificada y respetuosa con los derechos fundamentales de los trabajadores. 


El riesgo de la «vigilancia total» 


Ante el auge del Shadow AI, algunas organizaciones pueden caer en la tentación de implantar sistemas de monitorización intensiva: registro de actividad, análisis de comportamiento, captura de uso de herramientas o supervisión continua. 


El problema es que este enfoque puede ser contraproducente. La AEPD advierte que las medidas de control excesivas pueden vulnerar derechos como la intimidad o el secreto de las comunicaciones, especialmente si no están debidamente justificadas. 


Además, un sistema de vigilancia desproporcionado puede generar: 


  • conflictos laborales y pérdida de confianza, 

  • incumplimientos en materia de protección de datos, 

  • y, en caso de incidente, pruebas débiles o impugnables por haberse obtenido sin garantías. 

La clave: supervisión proporcional y con garantías 


El equilibrio está en diseñar un modelo de control basado en tres pilares fundamentales: 


Proporcionalidad 


Las medidas deben ser adecuadas al riesgo. No es lo mismo controlar accesos a información sensible que monitorizar de forma generalizada toda la actividad digital. La empresa debe optar por soluciones menos intrusivas cuando sean suficientes. 


Información previa y transparencia 


Los trabajadores deben conocer de forma clara qué herramientas se utilizan, qué datos se recogen y con qué finalidad. La AEPD insiste en la importancia de políticas internas bien definidas y comunicadas. 


Finalidad y minimización 


Los datos recogidos deben limitarse a lo estrictamente necesario para la finalidad perseguida. No se justifica recopilar información excesiva «por si acaso». 


Shadow AI: del control técnico a la gobernanza 


Controlar el uso de IA en la empresa no es solo una cuestión tecnológica. Es, sobre todo, una cuestión de gobernanza del dato y cultura organizativa. 


Las organizaciones más maduras están optando por enfoques combinados: 


  • políticas claras sobre uso de IA, 

  • formación a empleados sobre riesgos, 

  • herramientas autorizadas y seguras, 

  • y controles selectivos orientados a riesgos concretos. 

Este enfoque no elimina el riesgo, pero lo gestiona sin invadir innecesariamente el espacio del trabajador. 


Conclusión: controlar sí, pero con diseño jurídico 


El Shadow AI no se soluciona con más vigilancia, sino con mejor diseño. La clave está en encontrar un equilibrio entre control y derechos, entre seguridad y confianza. 


Las empresas que opten por medidas desproporcionadas no solo se exponen a sanciones, sino también a un problema más sutil: perder la validez de sus propios mecanismos de control. 


Porque en el entorno laboral digital, no basta con supervisar. Hay que hacerlo de forma que, llegado el momento, pueda sostenerse jurídica y probatoriamente. 


Como siempre, cuidad los datos y ¡cuidaos! 

Subcontratación en cadena y RGPD: 15.000 € por olvidar que el control no se delega

por

La Agencia Española de Protección de Datos (AEPD) ha sancionado a DYNAMIC EXPRESS COURIER S.L. con 15.000 euros por incumplimientos del artículo 28 del RGPD en el marco de un servicio de recogida documental para ING. La resolución ofrece una lección clara para cualquier organización que actúe como encargado del tratamiento y recurra a terceros en la prestación del servicio. 


Más allá del extravío de documentación bancaria con datos altamente sensibles, el foco de la AEPD se sitúa en algo estructural: la gestión de la cadena de subcontratación y el cumplimiento formal—y material—de las exigencias del artículo 28 RGPD. 


Los hechos: una cadena de subencargos sin control efectivo 


ING, como responsable del tratamiento, contrató a DYNAMIC como encargado para la recogida de documentación de clientes. Durante la vigencia del contrato (1 de septiembre de 2022 a 28 de febrero de 2023), DYNAMIC recurrió a SENDING como subencargado. 


A su vez, SENDING subcontrató a AUTORADIO para ejecutar materialmente la recogida de la documentación. El problema no fue solo operativo (la documentación nunca llegó a destino), sino jurídico: 


  • No constaba autorización previa y por escrito de ING para contar con SENDING como subencargado. 

  • Tampoco se acreditó que ING hubiera sido informada de la intervención de AUTORADIO. 

  • Los contratos de subencargo aportados no cumplían plenamente con las exigencias del RGPD. 

La AEPD declara probado que DYNAMIC tenía conocimiento de la intervención de AUTORADIO y que no lo comunicó al responsable. 


Artículo 28.2 RGPD: la autorización no es un formalismo 


El artículo 28.2 RGPD establece que el encargado no podrá recurrir a otro encargado sin la autorización previa, específica o general, del responsable. 


En este caso, el contrato entre ING y DYNAMIC exigía autorización previa y expresa para subcontratar. Sin embargo, no constaba autorización para SENDING ni comunicación relativa a AUTORADIO. 


La AEPD aprecia dos infracciones del artículo 28.2 RGPD: 


  • Subencargar sin autorización previa y por escrito. 

  • No informar al responsable sobre cambios en la cadena de subcontratación. 

El mensaje es claro: el responsable debe poder conocer, controlar y, en su caso, oponerse a los subencargados que intervienen en el tratamiento. 


Artículo 28.4 RGPD: el contrato de subencargo debe ser adecuado 


La resolución también analiza el artículo 28.4 RGPD, que exige que el subencargado asuma las mismas obligaciones en materia de protección de datos que las establecidas entre responsable y encargado. 


Los contratos entre DYNAMIC y SENDING presentaban deficiencias relevantes: no identificaban correctamente al responsable (ING) y no reflejaban adecuadamente el marco contractual específico. 


La AEPD concluye que no basta con tener «algún contrato» de protección de datos. El contenido debe ajustarse al RGPD y a las instrucciones concretas del responsable. 


La sanción: tres infracciones, 15.000 euros 


Finalmente, la AEPD impone: 


  • 5.000 € por subencargar a SENDING sin autorización (art. 28.2 RGPD). 

  • 5.000 € por no informar sobre la intervención de AUTORADIO (art. 28.2 RGPD). 

  • 5.000 € por no contar con un contrato de subencargo válido con SENDING (art. 28.4 RGPD). 

Total: 15.000 euros. 


Conclusión: la responsabilidad en cadena también es responsabilidad jurídica 


Esta resolución recuerda que el artículo 28 RGPD no es una cláusula estándar que se copia y pega en los contratos. Es un mecanismo esencial para garantizar que los derechos de los interesados se preserven a lo largo de toda la cadena de tratamiento. 


Para responsables y encargados, la lección es evidente: 


  • Identificar y documentar todos los subencargados. 

  • Exigir autorización previa cuando así se establezca. 

  • Formalizar contratos plenamente alineados con el RGPD. 

  • Mantener trazabilidad y control real sobre la cadena de proveedores. 

En protección de datos, delegar la prestación del servicio no implica delegar la responsabilidad. Y cuando el control se diluye en la cadena de subcontratación, el riesgo—jurídico y reputacional—se multiplica. 


Como siempre, cuidad los datos y ¡cuidaos! 


Para leer la resolución, haga clic aquí. 

Llega el canal europeo de denuncias sobre IA: qué supone para las empresas y cómo prepararse

por

La gobernanza de la inteligencia artificial en Europa da un paso decisivo con el lanzamiento de la AI Act Whistleblower Tool, el nuevo canal europeo para denunciar infracciones relacionadas con el uso y desarrollo de sistemas de IA. La herramienta, impulsada por la Oficina Europea de Inteligencia Artificial, introduce una capa adicional de vigilancia en un momento clave: el Reglamento de Inteligencia Artificial (RIA o AI Act) avanza hacia su plena aplicación, y las empresas tecnológicas deberán reforzar su cultura de cumplimiento normativo.


Aunque muchas obligaciones del RIA aún no son exigibles, Bruselas quiere anticiparse a posibles incumplimientos y convierte a empleados, colaboradores y socios comerciales en aliados estratégicos para detectar riesgos. Este enfoque se suma al marco ya existente en España, compuesto por la Autoridad Independiente de Protección del Informante (AIPI), la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) y los sistemas internos de información obligatorios bajo la Ley 2/2023.


¿En qué consiste la AI Act Whistleblower Tool?


Se trata de un canal de denuncia externo, seguro, confidencial y totalmente independiente de los sistemas internos de las compañías. Permite comunicar presuntas infracciones del RIA, tanto en obligaciones ya activas como en ámbitos conexos afectados por el despliegue de IA:


  • Seguridad de productos.
  • Protección del consumidor.
  • Privacidad y seguridad de los datos.
  • Prácticas internas que puedan poner en riesgo derechos fundamentales o la confianza pública.

No obstante, los expertos advierten que su alcance todavía es limitado: algunas obligaciones—como la transparencia sobre los datos de entrenamiento—no serán exigibles hasta fases posteriores, y la protección plena de los denunciantes no será aplicable hasta el 2 de agosto de 2026.


Un ecosistema de canales que convivirá y se solapará


El nuevo canal europeo no sustituye a los mecanismos nacionales. Las denuncias podrán presentarse tanto por vía interna como externa, sin necesidad de agotar ninguna vía previamente. Esto abre la puerta a investigaciones paralelas y, potencialmente, a un solapamiento de sanciones si concurren distintos supervisores.


Ante esta falta de claridad práctica, los especialistas en compliance recomiendan reforzar los sistemas internos para mejorar su eficacia y capacidad de respuesta. La Ley 2/2023 exige que el sistema interno sea accesible, garantice el anonimato y la confidencialidad, proteja frente a represalias y cuente con una gestión independiente, aunque la operación pueda externalizarse.


Además, las empresas deben informar no solo de su canal interno, sino también de los canales externos disponibles, incluidos los europeos.


¿Qué deben hacer ahora las tecnológicas?


Con la puesta en marcha del canal europeo, las organizaciones que desarrollan o integran IA deberían:


  1. Revisar y actualizar sus programas de compliance, incorporando obligaciones del RIA y protocolos específicos de IA.
  2. Auditar sus sistemas internos de información para garantizar su eficiencia, accesibilidad y alineación con la Ley 2/2023.
  3. Capacitar a los equipos sobre obligaciones del AI Act, riesgos legales y funcionamiento de los distintos canales.
  4. Evaluar el impacto de posibles investigaciones simultáneas y preparar planes de respuesta coordinados.

En un entorno regulatorio cada vez más complejo, la prevención y la transparencia serán claves para evitar riesgos sancionadores y reputacionales. El mensaje es claro: la era de la supervisión reforzada de la IA ya ha comenzado, y las empresas deben estar preparadas.


Como siempre, cuidad los datos y ¡cuidaos!

Seguridad o privacidad: el pulso judicial por el fichaje con huella digital

por

La reciente Sentencia nº 370/2025 del Juzgado de lo Social nº 3 de A Coruña ha reabierto el debate sobre la legalidad del registro de jornada mediante sistemas biométricos en el entorno laboral. En un contexto marcado por la cautela de la Agencia Española de Protección de Datos (AEPD) y la tendencia empresarial a abandonar estos sistemas, el fallo avala la utilización de la huella digital como mecanismo de control horario en un hospital público, calificándola de «poco invasiva» y «proporcionada».


Un caso con implicaciones más allá del hospital


El conflicto enfrentaba al comité de empresa y a la Confederación Intersindical Galega frente al Instituto Policlínico Santa Teresa S.A. Los representantes sindicales alegaban vulneración de los derechos fundamentales a la intimidad, la salud y la libertad sindical por el uso obligatorio de un sistema de fichaje mediante huella dactilar.


El tribunal, sin embargo, desestimó íntegramente la demanda y consideró que el sistema biométrico empleado—basado en plantillas no identificativas y con medidas de seguridad avanzadas—respetaba los principios del RGPD y la LOPDGDD, resultando idóneo para garantizar el registro horario exigido por el artículo 34.9 del Estatuto de los Trabajadores.


Un argumento jurídico polémico


El punto más controvertido radica en la base jurídica elegida por el juzgado para legitimar el tratamiento de datos biométricos: la excepción del artículo 9.2.i) del RGPD, relativa al tratamiento necesario por razones de interés público en el ámbito de la salud pública.
Aplicar esta excepción—concebida para amenazas sanitarias o seguridad asistencial—al simple registro de jornada laboral resulta, cuanto menos, discutible. El tribunal justifica su decisión al considerar el hospital una infraestructura crítica (Ley 8/2011), donde la verificación biométrica contribuiría a la seguridad de pacientes, medicamentos y personal. No obstante, este razonamiento confunde dos tratamientos distintos: el control de acceso (más defendible desde la perspectiva de la seguridad) y el registro horario, cuya finalidad es puramente laboral.


Falta de doctrina unificada


El caso refleja la ausencia de una doctrina consolidada en torno al fichaje biométrico.
Mientras que la AEPD, en su Guía sobre uso de datos biométricos (noviembre de 2023), insiste en que estos sistemas son altamente intrusivos y de uso excepcional, algunos tribunales y organismos técnicos—como el CNPIC o el Consejo Español para el Registro de Jornada—mantienen posiciones más permisivas, especialmente en contextos de seguridad reforzada.


El resultado es un panorama fragmentado en el que la misma práctica puede considerarse ilícita o proporcional según el órgano que la valore.


Una sentencia que invita a la reflexión


El Juzgado de A Coruña ha ido más allá de la postura mayoritaria al calificar la huella digital como menos intrusiva que alternativas como las apps con geolocalización o los lectores de tarjetas NFC.
Esta valoración, sin embargo, parece minimizar la naturaleza sensible de los datos biométricos y el riesgo inherente a su tratamiento. Más que un paso hacia la modernización tecnológica, el fallo puede interpretarse como un retroceso en la cultura de protección de datos laborales.


En definitiva, esta sentencia nos invita a una reflexión urgente: ¿Estamos ante un cambio de tendencia judicial o ante un exceso de interpretación que desdibuja los límites del RGPD? Lo cierto es que, a día de hoy, la seguridad jurídica en materia de fichaje biométrico sigue tan difusa como las huellas que pretende registrar.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

El derecho a desconectar: ¿una obligación ignorada?

por

El reciente foco mediático sobre el incumplimiento empresarial en materia de desconexión digital pone el acento en la necesidad urgente de que las compañías pasen de las buenas intenciones a la acción rigurosa. Al igual que con la protección de datos biométricos, el principio de “cumplir y poder demostrarlo” marca la diferencia entre un riesgo reputacional y una empresa alineada con el nuevo estándar de bienestar digital.


Hechos


Tras la entrada en vigor de la Ley Orgánica 3/2018 y la Ley 10/2021, todas las empresas tienen la obligación de contar con un protocolo de desconexión digital negociado y eficaz, no solo formal. Sin embargo, la Inspección de Trabajo ha detectado que en muchos casos este protocolo es simbólico, carece de medidas reales y no contempla la debida información y formación a los empleados.


El incremento de controles en 2025 ha hecho aflorar prácticas como el envío frecuente de comunicaciones fuera de jornada, especialmente en el teletrabajo, y la ausencia de vías claras para ejercer este derecho sin sufrir represalias. El 27% de los empleados españoles declara trabajar extras digitales sin contraprestación ni justificación.


Protocolos efectivos: del papel a la práctica


Tener un protocolo no es suficiente: debe adaptarse a la realidad interna, abarcar la flexibilidad horaria, prever situaciones urgentes, y formar a managers y equipos sobre el derecho a desconectar. La experiencia europea lo confirma: la desconexión se integra en la cultura corporativa y en la toma de decisiones del liderazgo, no como una mera cláusula legal.


El correcto cumplimiento requiere puntos como:


  • Políticas claras y negociadas sobre el uso de dispositivos y canales fuera de horario.
  • Mecanismos para informar y canalizar incidentes.
  • Formación y comunicación continua, revisando y actualizando los protocolos periódicamente.
  • Implantación efectiva, no meramente formal.

Sanciones y riesgo reputacional


Las sanciones por incumplimiento han aumentado: de 751 a 7.500 € para infracciones graves, y hasta 225.018 € si existe riesgo psicosocial probado o acoso laboral. Incluso aquellas empresas con protocolos solo “de cara a la galería” han sido sancionadas si no aplicaron, formaron ni comunicaron correctamente sus políticas. La jurisprudencia reciente avala indemnizaciones por daños derivados del estrés digital, y pronuncia nulas las sanciones o despidos a empleados que ejercieron su derecho a la desconexión.


Mirada práctica y europea


A nivel europeo, la futura Directiva de desconexión digital y los informes de la Agencia Europea para la Seguridad y Salud en el Trabajo colocando el derecho a desconectar como eje central del bienestar y la prevención psicosocial. Las buenas prácticas recomiendan caminar hacia una implantación transversal, real y medible, con auditorías internas y visión de mejora constante.


Conclusión


Cumplir formalmente ya no basta: la desconexión digital exige cultura, implicación de todos los departamentos y liderazgo activo. El coste de ignorarla puede superar con mucho el de cualquier sanción administrativa y, por supuesto, una caída reputacional.


Como siempre, cuidad los datos y ¡cuidaos!

El derecho a desconectar no se negocia: sanción a LVMH por uso indebido del móvil de una empleada

por

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 70.000€ a LVMH Iberia por obligar a una empleada a usar su teléfono móvil personal para fines laborales, incluso en contra de su voluntad. Esta actuación constituye una vulneración tanto del Reglamento General de Protección de Datos (RGPD) como del derecho a la desconexión digital previsto en la LOPDGDD.


La afectada se vio forzada a utilizar su número de teléfono personal para participar en grupos de WhatsApp corporativos, a la espera de un teléfono de empresa que nunca se le entregó. Un día antes de iniciar sus vacaciones, comunicó por escrito y verbalmente su intención de dejar de usar su móvil personal para temas de trabajo, se salió de varios grupos y reiteró que esperaba disponer del dispositivo corporativo prometido.


Sin embargo, al día siguiente, mientras disfrutaba de su día libre, fue incluida sin consentimiento en un nuevo grupo de WhatsApp de la empresa, en el que permaneció hasta su despido. Ante esta situación, presentó una reclamación ante la AEPD.


La empresa, por su parte, justificó su actuación asegurando que adoptó una «postura garantista» y que los grupos solo incluían a empleados, lo que consideraban una medida adecuada y necesaria para la operativa diaria. También alegaron que, en general, los trabajadores acceden a estos grupos con dispositivos corporativos, y que el uso del teléfono personal es algo «excepcional y transitorio».


No obstante, la AEPD consideró que hubo una doble infracción:


  • Violación del 6.1 RGPD, por utilizar datos personales (el número de teléfono privado) sin base legal válida ni consentimiento explícito.
  • Vulneración del derecho a la desconexión digital ( 88 LOPDGDD), por obligar a la empleada a participar en comunicaciones laborales incluso durante sus vacaciones, sin respetar los límites del descanso personal.

Como consecuencia, la AEPD impuso una multa inicial de 70.000€, que quedó reducida a 42.000€, tras el reconocimiento de responsabilidad y al pago voluntario por parte de la empresa.


Conclusión


Este caso marca un precedente importante en el ámbito laboral digital: las empresas no pueden imponer el uso de dispositivos personales para el trabajo sin consentimiento claro y revocable, y deben respetar el derecho a la desconexión digital, especialmente fuera del horario laboral o en periodos de descanso.


Cabe recordar a todas las organizaciones que la gestión de grupos de WhatsApp u otras herramientas informales no exime del cumplimiento del RGPD, y que la comodidad operativa no justifica la invasión de la vida privada de los empleados.


Como siempre, cuidad los datos y ¡cuidaos!


Para consultar la resolución, haga clic aquí.

Revisión Textos Legales Web