Protección de datos en la oficina abierta: ¿cumple su empresa con el RGPD en espacios compartidos?

La proliferación de oficinas abiertas y espacios de trabajo compartidos plantea un desafío legal que muchas empresas españolas aún no han abordado de forma adecuada: la protección de datos personales en entornos donde las conversaciones, las pantallas y los documentos quedan expuestos a terceros. La protección de datos en oficinas abiertas no es solo una cuestión técnica, sino una obligación legal cuyo incumplimiento puede acarrear sanciones millonarias por parte de la Agencia Española de Protección de Datos (AEPD).

En este artículo, analizamos desde una perspectiva jurídica las obligaciones que el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) imponen a las empresas en relación con la privacidad de la información en el entorno físico de trabajo.

El RGPD y la seguridad física de los datos personales

El artículo 32 del RGPD obliga a los responsables y encargados del tratamiento a implementar «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo». Esta obligación no se limita a la seguridad informática: abarca también la protección física de los datos personales frente al acceso no autorizado.

En una oficina abierta, la exposición involuntaria de datos personales puede producirse de múltiples formas:

• Conversaciones telefónicas: un abogado que habla con un cliente sobre los detalles de su caso, un responsable de recursos humanos que discute una situación disciplinaria, o un comercial que menciona datos financieros de un cliente mientras toda la oficina puede escuchar.
• Pantallas visibles: monitores orientados hacia zonas de paso donde se muestran historiales médicos, datos bancarios o información sensible.
• Documentación física: expedientes, facturas o contratos sobre escritorios accesibles a cualquier persona.
• Reuniones en espacios abiertos: encuentros profesionales que se celebran en mesas compartidas por falta de salas cerradas.

La AEPD ha señalado en diversos procedimientos sancionadores que el responsable del tratamiento debe tomar medidas proporcionadas para evitar que terceros no autorizados accedan a datos personales, y que la organización del espacio físico de trabajo forma parte de esas medidas.

Categorías especiales de datos: un riesgo agravado

El riesgo se multiplica cuando en la oficina se tratan categorías especiales de datos personales, conforme al artículo 9 del RGPD. Esto afecta especialmente a:

• Despachos de abogados: que manejan información sobre procedimientos penales, situaciones familiares, datos patrimoniales y, en ocasiones, datos de salud de sus clientes.
• Clínicas y centros sanitarios: con datos de salud protegidos.
• Empresas de selección de personal: que pueden tratar datos sobre afiliación sindical, discapacidad u origen racial.
• Asesorías fiscales y laborales: con acceso a datos económicos y de la Seguridad Social.

En estos casos, el RGPD exige un nivel de protección reforzado, lo que en el ámbito físico se traduce en la necesidad de disponer de espacios donde se pueda garantizar la confidencialidad de las comunicaciones.

Obligaciones concretas del empresario en materia de privacidad espacial

Desde la perspectiva del RGPD y la LOPDGDD, el empresario debe implementar, como mínimo, las siguientes medidas en relación con el espacio físico de trabajo:

1. Política de escritorio limpio (clean desk policy)

Establecer una normativa interna que obligue a los empleados a no dejar documentos con datos personales a la vista cuando se ausenten de su puesto. Esta política debe estar documentada y comunicada formalmente a la plantilla.

2. Control de acceso visual a pantallas

Orientar los monitores de forma que no sean visibles desde zonas de paso o desde puestos de trabajo de personas no autorizadas. En caso necesario, utilizar filtros de privacidad.

3. Espacios adecuados para comunicaciones confidenciales

Disponer de salas o espacios cerrados donde se puedan mantener conversaciones telefónicas o reuniones que impliquen el tratamiento de datos personales. La ausencia de estos espacios puede constituir una vulneración del principio de integridad y confidencialidad del artículo 5.1.f) del RGPD.

En este sentido, muchas empresas están optando por soluciones que permiten crear espacios de privacidad sin necesidad de reformas estructurales. Los paneles divisorios fonoabsorbentes, las salas prefabricadas y las cabinas de aislamiento acústico ofrecen alternativas viables. Entre los fabricantes europeos de cabinas acústicas existen opciones que se instalan en pocas horas y proporcionan un nivel de aislamiento suficiente para garantizar la confidencialidad de las comunicaciones, sin requerir licencia de obras ni alterar la estructura del inmueble. Estas soluciones resultan especialmente prácticas para despachos profesionales, asesorías y cualquier empresa que trate datos personales sensibles en régimen de oficina compartida.

4. Formación del personal

El artículo 39 de la LOPDGDD establece la obligación de informar al personal sobre sus obligaciones en materia de protección de datos. Esta formación debe incluir instrucciones sobre cómo manejar datos personales en el entorno físico de trabajo.

Sanciones por vulneración de la privacidad en el espacio de trabajo

Las sanciones previstas en el RGPD por incumplimiento de las obligaciones de seguridad pueden alcanzar los 10 millones de euros o el 2 % de la facturación anual global de la empresa (artículo 83.4 RGPD). En la práctica, la AEPD ha impuesto sanciones significativas por deficiencias en la protección física de datos personales.

Algunos ejemplos relevantes de la doctrina de la AEPD:

• Expediente PS/00547/2019: sanción de 40.000 euros a un centro médico por permitir que datos de pacientes fueran visibles desde la recepción.
• Expediente PS/00030/2020: apercibimiento a una administración pública por mantener expedientes con datos sensibles en estanterías abiertas al público.
• Múltiples procedimientos relacionados con grabaciones de conversaciones en espacios laborales donde se trataban datos personales sin las debidas garantías.

El caso particular de los despachos de abogados

Los bufetes y despachos jurídicos están sujetos, además del RGPD, al secreto profesional reconocido en el artículo 542.3 de la Ley Orgánica del Poder Judicial y en el Estatuto General de la Abogacía Española. La obligación de confidencialidad del abogado se extiende no solo al contenido de las comunicaciones con sus clientes, sino también a la propia existencia de la relación profesional.

En un despacho con espacios abiertos o compartidos, una simple conversación telefónica con un cliente puede suponer una vulneración del secreto profesional si es escuchada por terceros. Esto adquiere especial relevancia en los despachos que comparten oficina con otros profesionales (coworking jurídico) o que disponen de zonas comunes de espera donde los clientes pueden escucharse entre sí.

Conviene consultar también nuestro artículo sobre la normativa de ruido en el lugar de trabajo, ya que las condiciones acústicas del despacho inciden directamente en la capacidad de garantizar la confidencialidad de las comunicaciones.

Evaluación de impacto en la protección de datos (EIPD)

Cuando el tratamiento de datos personales presente un alto riesgo para los derechos y libertades de las personas físicas, el artículo 35 del RGPD exige la realización de una evaluación de impacto. En esta evaluación, las condiciones del espacio físico de trabajo deben ser objeto de análisis específico, valorando:

• El tipo de datos tratados en cada zona del espacio de trabajo.
• Las personas que tienen acceso visual o auditivo a esos datos.
• Las medidas físicas implementadas para mitigar los riesgos.
• La eficacia de dichas medidas y las posibles mejoras.

Recomendaciones prácticas

Desde nuestro despacho en Plasencia, aconsejamos a las empresas que operan en oficinas abiertas o compartidas implementar las siguientes medidas con carácter prioritario:

1. Realizar una auditoría de privacidad del espacio físico de trabajo, identificando los puntos donde se produce exposición de datos.
2. Documentar las medidas adoptadas como parte del registro de actividades de tratamiento (art. 30 RGPD).
3. Designar espacios específicos para comunicaciones que impliquen datos personales sensibles.
4. Incluir las medidas de privacidad física en la formación obligatoria del personal.
5. Revisar periódicamente la eficacia de las medidas implementadas.

Si necesita asesoramiento sobre la adaptación de su empresa al RGPD, incluyendo la dimensión física de la protección de datos, nuestro equipo de abogados especializados en protección de datos puede ayudarle. Solicite una consulta y evaluaremos su situación concreta.