aldusa
Compliance

Privacidad GDPR en oficinas abiertas: lo que todo founder debe saber

Por Equipo Aldusa4 min de lectura
Privacidad GDPR en oficinas abiertas: lo que todo founder debe saber

La mayoría de founders españoles asocian el RGPD con cookies, newsletters y bases de datos de clientes. Pocos piensan que la forma en que está diseñada su oficina puede generar incumplimientos igual de serios. Y sin embargo, cuando una reclutadora hace una videollamada con un candidato desde su mesa del open space, y sus quince compañeros escuchan nombre, salario pretendido y motivo de salida del anterior trabajo, ahí hay una incidencia de privacidad que la Agencia Española de Protección de Datos puede tomar en serio.

Este artículo no es asesoramiento legal, pero sí un resumen honesto de las zonas grises que hemos visto en despachos con los que colaboramos.

El principio básico

El artículo 5 del RGPD exige que los datos personales sean tratados con "integridad y confidencialidad". Eso incluye medidas técnicas y organizativas apropiadas contra accesos no autorizados. La palabra clave es "apropiadas": el regulador no dice qué son, y eso abre el juego. Pero sí hay jurisprudencia europea que ha considerado que exponer datos personales a personas no autorizadas dentro de la misma organización, de forma sistemática, es un fallo de medidas de seguridad.

Traducido: si tu reclutadora hace entrevistas sentada en medio del open space y los compañeros la oyen, tu empresa tiene un problema.

Tres escenarios típicos en startups

Entrevistas de selección. Se tratan datos personales del candidato: experiencia laboral, salario, a veces motivos personales de cambio. Si se escuchan desde otras mesas, hay exposición no autorizada.

Conversaciones con clientes sobre cuentas o facturación. Especialmente sensible si son empresas regaladas como clientes (B2B) donde el interlocutor puede compartir información financiera.

Llamadas de People Ops con empleados. Temas de contrato, salario, conflictos internos. Si el director financiero discute la extensión del contrato de alguien con una HR externa, y la mesa de al lado lo escucha, estamos ante un incumplimiento de confidencialidad interna que puede derivar en demanda laboral.

Qué ha dicho la AEPD

La Agencia Española de Protección de Datos ha publicado guías sobre "protección de datos en las relaciones laborales" que incluyen referencias específicas a la confidencialidad en el entorno físico de trabajo. No hay, a día de hoy, una sanción pública conocida por "fallo de aislamiento acústico", pero sí por fallos derivados: datos personales expuestos en pantallas visibles desde zonas de paso, documentos dejados sobre mesas compartidas, y conversaciones telefónicas con clientes realizadas en entornos donde terceros las podían escuchar.

La tendencia es clara: la AEPD considera la seguridad organizativa y física parte del cumplimiento. Un responsable del tratamiento diligente no puede ignorar el entorno donde se procesan los datos.

Medidas razonables que un regulador aceptaría

La buena noticia: no hace falta construir un búnker. Las medidas "apropiadas" son proporcionales al riesgo y al tamaño de la empresa. Para una startup de veinte o treinta personas, estas son las que hemos visto defender sin problemas ante un DPO externo:

  1. Un espacio cerrado dedicado a conversaciones sensibles. No una sala de reuniones compartida, un espacio específico donde se puedan tomar entrevistas y llamadas confidenciales.
  2. Protocolo interno escrito. Un documento corto que diga quién puede tratar qué tipo de dato y dónde. Una página basta.
  3. Formación mínima al equipo. Una sesión anual de 30 minutos sobre confidencialidad en el puesto de trabajo.
  4. Cabinas acústicas para llamadas y videoconferencias con datos. Una cabina individual como SilentBox reduce 30-33 dB el ruido saliente, suficiente para que una conversación normal no sea inteligible a dos metros de la cabina.

El coste de no hacer nada

Una sanción del RGPD puede llegar hasta el 4 por ciento de la facturación global anual o 20 millones de euros (lo que sea mayor). En la práctica, las sanciones a startups españolas han estado entre 10.000 y 100.000 euros en los últimos tres años. Para una empresa en Serie A, eso puede ser un trimestre de runway.

Más allá de la sanción monetaria, hay reputación. Un incidente de privacidad publicitado es extraordinariamente difícil de limpiar en un ecosistema pequeño como el español, donde los candidatos senior se pasan información entre ellos por WhatsApp.

Lo mínimo aceptable

Si lees esto y sales con una sola acción, que sea esta: asegúrate de que en tu oficina existe al menos un espacio cerrado con aislamiento acústico real donde se puedan mantener conversaciones confidenciales. Una sola cabina individual cumple esa función técnica y legal. El modelo Solo del fabricante SilentBox es un ejemplo concreto que ocupa menos de un metro cuadrado y se instala sin obra.

El cumplimiento del RGPD en oficinas no es tan visible como el de cookies, pero la responsabilidad del responsable del tratamiento lo abarca. Y "responsable" significa también físicamente.

// seguir leyendo

Otros artículos del Diario

¿Listo para silenciar tu oficina?

Cuéntanos tu caso. Te respondemos en menos de 24h con una propuesta sin compromiso.

  • Envío a toda España
  • Montaje incluido
  • Financiación disponible

+200 empresas en España ya confían en las cabinas SilentBox.

Al enviar aceptas nuestra política de privacidad.