LEGAL VERITAS ®

EMPRESA DE PROTECCION DE DATOS

Privacidad de datos en móviles corporativos (BYOD): detección y respuesta

Privacidad de datos en móviles corporativos (BYOD): detección y respuesta

General ·

En muchas empresas es cada vez más habitual combinar el uso de móviles corporativos con dispositivos personales para fines corporativos (modelo BYOD). Esta realidad, unida al cumplimiento del RGPD, genera dudas y responsabilidades que conviene conocer. Para entender mejor este escenario, se resumen a continuación varios puntos clave sobre privacidad, seguridad y reparto de obligaciones.

  • Qué es BYOD y en qué se diferencia de los móviles corporativos.
  • Retos de privacidad y seguridad que plantea este modelo.
  • Señales de que un dispositivo puede estar comprometido.
  • Elementos básicos de una política BYOD alineada con el RGPD.
  • Responsabilidades de la empresa, de los proveedores y de la plantilla.

Tabla de contenidos

Autora:

Laura Castilla Jiménez, abogada

Fecha de última modificación: 26/11/2025

¿Qué es BYOD?

BYOD responde a las siglas inglesas bring your own device. La expresión significa, literalmente, “trae tu propio dispositivo”. En la práctica se utiliza para describir el uso de dispositivos personales de las personas trabajadoras para fines profesionales, por ejemplo para acceder al correo corporativo, a herramientas de colaboración o a aplicaciones de negocio.

Diferencias entre BYOD y móviles corporativos

En los móviles corporativos tradicionales, el dispositivo es propiedad de la empresa. La organización decide cómo se configura el terminal, qué aplicaciones se instalan y qué controles se aplican. Pero el modelo BYOD parte de un presupuesto distinto: el teléfono, la tableta o el portátil pertenecen a la persona trabajadora, aunque el dispositivo se utilice para conectarse a recursos de la empresa.

Esta diferencia aparentemente simple tiene efectos relevantes. Cambian las medidas técnicas razonables, la forma de separar datos corporativos y personales, el nivel de control admitido y la manera de informar a la plantilla. Por ello, es fundamental diseñar políticas específicas de BYOD y no limitarse a aplicar las reglas previstas para los móviles de empresa.

El uso de dispositivos personales puede aportar ventajas claras. Además de reducir costes, facilita las incorporaciones y permite trabajar con herramientas conocidas. No obstante, también introduce nuevos riesgos de seguridad y privacidad. Por este motivo resulta necesario que el modelo BYOD y el cumplimiento del RGPD se planifiquen de forma conjunta, integrando la perspectiva jurídica y la técnica.

¿Qué retos plantea el uso de móviles corporativos y BYOD para el cumplimiento del RGPD?

El uso combinado de móviles corporativos y dispositivos personales para fines corporativos genera varios retos para la seguridad de la información y para la protección de datos. A continuación se describen algunos de los desafíos más habituales en las organizaciones.

  • Pérdida del dispositivo. La pérdida o el robo de un teléfono, una tableta o un portátil sigue siendo un incidente frecuente. Además de suponer un coste económico, puede implicar la exposición de información corporativa y de datos personales. En consecuencia, la empresa podría enfrentarse a una posible violación de seguridad y a daños reputacionales.
  • Geoposicionamiento de la plantilla. El uso de redes wifi, aplicaciones o sistemas de geolocalización permite conocer la ubicación de las personas trabajadoras. La normativa española permite estos sistemas para el control laboral en ciertas condiciones. Sin embargo, exige una base jurídica adecuada, el respeto a la necesidad y proporcionalidad y una información previa, clara y expresa a la plantilla. Un uso desmedido o poco transparente puede resultar contrario al RGPD.
  • Conexiones inseguras. Muchas personas trabajan fuera de la oficina y utilizan redes públicas o poco fiables. Un caso típico es la conexión a la red wifi de un hotel o de una cafetería. Estas redes pueden permitir accesos no autorizados o ataques de suplantación. Por ello, es aconsejable utilizar, siempre que sea posible, una VPN y evitar conexiones abiertas de origen desconocido.
  • Accesos indeseados a información empresarial y datos personales. El uso de dispositivos personales aumenta la probabilidad de que terceras personas vean información corporativa. Esto puede ocurrir si se introducen contraseñas delante de otras personas, si se deja la sesión abierta en un lugar público o si el dispositivo se comparte en el entorno familiar. En todos estos supuestos existe un riesgo real de acceso no autorizado a datos personales.

Impacto de estos riesgos en el cumplimiento del RGPD

Los riesgos técnicos descritos no se quedan en el terreno de la ciberseguridad. También repercuten directamente en el cumplimiento del RGPD. Una conexión insegura, una pérdida de dispositivo o un acceso no autorizado pueden traducirse en un acceso ilícito a datos personales de empleados, clientes, proveedores u otras personas vinculadas con la empresa.

Ante este tipo de incidentes, el responsable del tratamiento debe revisar qué ha sucedido, aplicar las medidas de contención oportunas y valorar si se ha producido una violación de la seguridad de los datos personales. Si el incidente entraña riesgo para los derechos y libertades de las personas, resultará necesario analizar la necesidad de notificarlo a la autoridad de control y, en su caso, comunicarlo también a las personas afectadas. Por tanto, disponer de políticas claras en materia de BYOD deja de ser una mera recomendación para convertirse en una pieza clave de cumplimiento.

¿Cuáles son las señales de que un dispositivo puede estar comprometido?

El uso de móviles corporativos y dispositivos personales con acceso a datos de la empresa no está exento de riesgos. Sin embargo, ciertos indicios permiten sospechar que algo no funciona correctamente. Reconocer estas señales con rapidez ayuda a reducir el impacto del incidente.

Señales técnicas de compromiso

  • Disminución notable del rendimiento del dispositivo sin una causa clara.
  • Batería que se agota mucho más rápido de lo habitual.
  • Cambios inesperados en la configuración o aparición de aplicaciones no instaladas por la persona usuaria.
  • Reinicios frecuentes o comportamientos extraños, como aplicaciones que se abren y se cierran solas.
  • Consumo de datos móviles muy superior al habitual sin explicación aparente.

Señales relacionadas con ingeniería social

  • Recepción de correos o mensajes inesperados que solicitan datos personales o credenciales de acceso.
  • Mensajes amenazantes o que muestran conocimiento de información privada que no se ha compartido voluntariamente.
  • Enlaces que redirigen a páginas sospechosas que imitan servicios conocidos.

Cuando uno de estos indicios afecta a un dispositivo que contiene o permite el acceso a datos personales, puede estar anunciando una violación de la seguridad de los datos. En ese momento, conviene activar el procedimiento interno de gestión de brechas, documentar el incidente y evaluar el riesgo para los interesados. Así será posible decidir si es necesario notificar a la AEPD y comunicar la brecha a las personas afectadas.

¿Qué elementos debe tener una buena política de BYOD?

Una política de móviles corporativos y BYOD bien elaborada ayuda a reducir riesgos y, además, demuestra que la empresa aplica el principio de responsabilidad proactiva del RGPD. No basta con redactar unas pocas normas internas: es necesario integrar la política en el funcionamiento diario de la organización.

Bloque organizativo

  • Describir con claridad qué dispositivos pueden utilizarse para fines corporativos y qué usos están permitidos.
  • Establecer reglas sobre la separación entre datos corporativos y personales en los dispositivos de la plantilla.
  • Recoger los derechos y obligaciones de las personas trabajadoras en relación con el uso de BYOD.
  • Incluir un procedimiento de comunicación y gestión de incidentes, con indicación de quién debe ser avisado y cómo.

Bloque técnico y de seguridad

  • Definir medidas básicas de ciberseguridad, como el uso de contraseñas robustas, el bloqueo automático de pantalla o, cuando proceda, el cifrado del dispositivo.
  • Además de regular el uso de aplicaciones autorizadas para acceder a recursos corporativos y limitar las apps que no sean seguras.
  • Por supuesto establecer condiciones para la eliminación remota de datos corporativos cuando finalice la relación laboral o cese la autorización de acceso.
  • Prever controles específicos para la geolocalización, cuando se utilicen estos sistemas, respetando los principios de necesidad, proporcionalidad y transparencia.

Principios del RGPD aplicados al uso de BYOD

El modelo BYOD debe respetar los principios del artículo 5 del RGPD. Aplicados al día a día de la empresa, estos principios pueden resumirse en varios ejes prácticos.

  • Limitación de la finalidad: los datos accesibles desde el dispositivo solo pueden utilizarse para finalidades legítimas y previamente determinadas.
  • Minimización de datos: se deben tratar únicamente los datos estrictamente necesarios para prestar el servicio o realizar la tarea encomendada.
  • Limitación del plazo de conservación: los datos corporativos no deben permanecer indefinidamente en el dispositivo y deben existir reglas claras de borrado.
  • Integridad y confidencialidad: el responsable del tratamiento tiene que implantar medidas técnicas y organizativas acordes al riesgo, como la autenticación reforzada o el uso de VPN.

Responsabilidades en el modelo BYOD

En un entorno BYOD no todas las partes desempeñan el mismo papel. Resulta esencial delimitar quién decide sobre el tratamiento, quién presta servicios tecnológicos y quién utiliza los dispositivos en el día a día. De este modo se evitan lagunas de responsabilidad.

Responsable del tratamiento

La empresa que decide utilizar Móviles corporativos (BYOD) y RGPD actúa como responsable del tratamiento. Por tanto, debe diseñar e implantar la política, realizar el análisis de riesgos, valorar la necesidad de una evaluación de impacto en protección de datos (EIPD) y definir las medidas de seguridad adecuadas. También le corresponde informar a la plantilla de forma transparente sobre el tratamiento de sus datos personales.

Proveedores tecnológicos como encargados

Los servicios de gestión de dispositivos móviles (MDM), las plataformas en la nube o las soluciones de copia de seguridad suelen tratar datos personales por cuenta de la empresa. En estos supuestos, dichos proveedores actúan como encargados del tratamiento. Por ello, es imprescindible firmar con ellos un contrato de encargo conforme al artículo 28 del RGPD, en el que se regulen las instrucciones del responsable, las medidas de seguridad y el posible uso de subencargados.

Obligaciones internas de la plantilla

Las personas trabajadoras también asumen obligaciones internas en este modelo. Deben respetar las políticas de uso aceptable, seguir las instrucciones de seguridad, mantener la confidencialidad de las credenciales y comunicar los incidentes que detecten. Una política clara, acompañada de formación periódica, facilita el cumplimiento de estas responsabilidades.

BYOD, móviles corporativos y RGPD: medidas de seguridad recomendables

Una organización que utiliza móviles corporativos y dispositivos personales para fines corporativos necesita un conjunto coherente de medidas de seguridad. No todas las empresas requieren el mismo nivel de sofisticación, pero sí un mínimo de planificación.

Medidas organizativas clave

  • Integrar el uso para Móviles corporativos (BYOD) y RGPD en el marco general de cumplimiento de la empresa: registro de actividades, análisis de riesgos y, cuando proceda, EIPD.
  • Definir una política específica de BYOD que detalle qué dispositivos se permiten, qué aplicaciones pueden usarse y cómo se separan los datos personales de los corporativos.
  • Informar de forma previa y comprensible a la plantilla sobre las condiciones de uso, las posibles medidas de control y los derechos en materia de protección de datos.
  • Establecer un procedimiento interno de gestión de brechas, con pasos claros para la notificación interna, el análisis del incidente y la decisión sobre la comunicación a la AEPD y a las personas afectadas.

Medidas técnicas complementarias para Móviles corporativos (BYOD) y RGPD

  • Configurar y revisar de manera periódica los servidores y sistemas de acceso remoto, como VPN, correo corporativo o aplicaciones en la nube.
  • Monitorizar los accesos remotos, manteniendo registros de actividad que permitan detectar accesos anómalos o intentos de intrusión, siempre con respeto a la proporcionalidad.
  • Realizar un análisis de riesgos específico para BYOD y, cuando existan indicios de riesgo elevado, llevar a cabo una evaluación de impacto en protección de datos (EIPD) conforme al artículo 35 del RGPD.
  • Aplicar la privacidad desde el diseño y por defecto en las aplicaciones y sistemas utilizados, de forma que, por defecto, solo se traten los datos necesarios y con la configuración más respetuosa posible con la privacidad.
  • Ofrecer formación periódica en protección de datos y ciberseguridad, insistiendo en el uso de contraseñas robustas, en la actualización de dispositivos y en la comunicación temprana de cualquier sospecha de incidente.

Además de estas medidas, resulta muy útil contar con expertos en privacidad que acompañen a la empresa en el diseño y la revisión del modelo BYOD. De este modo se reducen riesgos legales y se implantan soluciones realistas, adaptadas al tamaño y al sector de cada organización. Contactar con profesionales especializados puede marcar la diferencia entre un uso improvisado de los dispositivos y un enfoque planificado.

¿Por qué es recomendable acudir a expertos en privacidad?

La realidad de cada empresa es distinta. No se tratan igual los datos de una cadena de comercios que los de un despacho de abogados o los de una clínica médica. Cambian tanto el tipo de información como los riesgos asociados a su tratamiento.

Por este motivo, el contenido de este artículo tiene carácter general y no constituye un asesoramiento jurídico individualizado. Acudir a especialistas en privacidad y protección de datos ayuda a asegurar que la organización cumple el RGPD y la LOPDGDD, protege la información de las personas y reduce la probabilidad de sanciones o daños reputacionales. Contactar con Legal Veritas permite analizar cada caso concreto y diseñar soluciones a medida.

Contacta con nosotros

Preguntas frecuentes (FAQ)

Dudas habituales sobre Móviles corporativos (BYOD) y RGPD

¿Qué es la privacidad por defecto y desde el diseño?

La privacidad desde el diseño agrupa las medidas técnicas y organizativas que una empresa incorpora desde el inicio de un proyecto para garantizar el cumplimiento de los principios de protección de datos. Por su parte, la privacidad por defecto implica que los sistemas se configuren de manera que, por defecto, solo se traten los datos personales estrictamente necesarios para cada finalidad. Ambas obligaciones se recogen en el artículo 25 del RGPD.

¿Qué es una brecha de seguridad?

La AEPD define las brechas de seguridad como incidentes que afectan a datos de personas físicas. El responsable del tratamiento debe estar preparado para esta posibilidad, valorar las consecuencias para las personas afectadas, analizar el alcance del incidente y determinar si puede generar daños. Para ello resulta esencial contar con un registro de actividades de tratamiento actualizado y con un análisis de riesgos. Cuando la brecha entraña riesgo para los derechos y libertades de las personas, debe notificarse a la AEPD en un plazo máximo de 72 horas desde que el responsable tiene constancia del incidente. Si la brecha supone un alto riesgo, también será necesario comunicarla a las personas afectadas.

¿Cuándo es obligatoria una evaluación de impacto?

Con carácter general, la evaluación de impacto en protección de datos (EIPD) es obligatoria cuando el tratamiento pueda conllevar un riesgo elevado para los derechos y libertades de las personas físicas. El artículo 35 del RGPD y la lista orientativa de la AEPD recogen ejemplos de tratamientos que requieren EIPD, como determinados supuestos de monitorización sistemática, uso de nuevas tecnologías o geolocalización de personas trabajadoras. En escenarios BYOD que implican monitorización intensiva o geolocalización de la plantilla, suele ser muy probable la necesidad de realizar una EIPD.

Fuentes y recursos

Entradas Relacionadas

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *