El uso de WhatsApp, SMS, Telegram, Signal o cuentas personales para tratar asuntos de trabajo ya no es solo una cuestión de orden interno. También puede convertirse en un riesgo jurídico y de cumplimiento.
El Tribunal General de la Unión Europea, en sus sentencias de 3 de junio de 2026 en los asuntos Vivendi/Comisión y Lagardère/Comisión, ha confirmado que la Comisión Europea puede exigir, en determinadas condiciones, documentos conservados en herramientas personales usadas con fines profesionales.
La idea clave para las empresas es clara: una comunicación no queda automáticamente fuera del alcance de una investigación por estar en un móvil personal o en una aplicación privada. Pero eso tampoco significa que la autoridad pueda acceder sin límites a la vida privada de empleados o directivos.
La conclusión práctica: si una empresa permite o tolera que asuntos profesionales se traten por canales personales, necesita políticas, protocolos y criterios claros antes de recibir un requerimiento.
Revisar políticas de comunicación
En este artículo vamos a tratar...
Qué resolvió el Tribunal General de la UE
El caso nace en el contexto de una investigación de la Comisión Europea sobre una posible ejecución anticipada de una operación de concentración entre Vivendi y Lagardère.
La Comisión solicitó a las empresas determinados documentos y comunicaciones de personas concretas, durante un periodo definido y mediante criterios de búsqueda previamente establecidos. La solicitud incluía comunicaciones realizadas a través de herramientas profesionales y también personales, siempre que esas herramientas se hubieran utilizado al menos una vez con fines profesionales.
Vivendi y Lagardère recurrieron alegando, entre otros motivos, que esas solicitudes vulneraban el derecho al respeto de la vida privada.
El Tribunal General desestimó los recursos.
La clave: puede haber injerencia en la privacidad, pero puede estar justificada
El Tribunal reconoció que una solicitud de este tipo puede suponer una injerencia grave en el derecho a la vida privada. Esto es especialmente relevante cuando afecta a dispositivos personales, aplicaciones privadas o comunicaciones que pueden contener información ajena a la actividad de la empresa.
Sin embargo, consideró que esa injerencia podía estar justificada si se cumplen determinadas condiciones.
1. Debe existir una base jurídica clara
La solicitud de información debe apoyarse en una norma que permita a la autoridad requerir los documentos necesarios para cumplir sus funciones. En este caso, la Comisión actuó en el marco de sus poderes de investigación en materia de control de concentraciones.
Para una empresa, esto significa que no todas las solicitudes son iguales. Conviene revisar siempre la base legal, el alcance y la finalidad del requerimiento.
2. La solicitud debe estar delimitada
Uno de los puntos importantes de la sentencia es que la solicitud no era un acceso general e indiscriminado a todos los datos.
Según el Tribunal, estaba acotada por varios elementos:
- personas concretas afectadas;
- periodo temporal definido;
- temas y términos de búsqueda determinados;
- relación con una investigación específica;
- herramientas personales solo si habían sido utilizadas con fines profesionales.
Esta delimitación fue esencial para valorar la proporcionalidad de la medida.
3. La finalidad debe ser legítima
El Tribunal también tuvo en cuenta que la investigación perseguía un objetivo de interés general: garantizar la aplicación efectiva de las normas de competencia en la Unión Europea.
La autoridad no buscaba investigar la vida privada de las personas como tal, sino obtener información comercial relevante para determinar si podía existir una infracción.
Esta distinción es importante: los datos privados pueden aparecer de forma accesoria, pero la finalidad debe estar vinculada a la investigación y no a una revisión general de la vida personal de empleados o directivos.
4. Deben existir garantías
El Tribunal valoró la existencia de garantías para proteger datos sensibles, información confidencial y, en el caso concreto, fuentes periodísticas.
Entre esas garantías se incluían mecanismos como la entrega separada y cifrada de determinados documentos, la identificación de datos sensibles y procedimientos específicos para proteger información especialmente delicada.
Para las empresas, la conclusión práctica es que no basta con “entregar todo”. Hay que gestionar la respuesta con criterio jurídico, técnico y documental.
Qué implica esto para las empresas
La sentencia no significa que una empresa pueda revisar libremente los móviles personales de sus empleados. Tampoco significa que cualquier autoridad pueda pedir cualquier conversación privada.
Pero sí deja una advertencia clara: cuando los canales personales se usan para tratar asuntos profesionales, pueden generar obligaciones y riesgos para la empresa.
Esto afecta especialmente a compañías donde directivos, mandos intermedios, equipos comerciales o áreas sensibles utilizan canales informales para tomar decisiones, coordinar operaciones o comentar asuntos estratégicos.
Riesgos habituales cuando se mezclan canales personales y profesionales
Las empresas suelen detectar el problema tarde, normalmente cuando ya existe una investigación, una auditoría, una disputa interna o una solicitud de información.
Algunos riesgos frecuentes son:
- decisiones relevantes tomadas por canales no controlados por la empresa;
- ausencia de políticas claras sobre uso de mensajería personal;
- dificultad para conservar o localizar comunicaciones profesionales;
- tratamiento de datos personales sin una base o protocolo adecuado;
- conflictos entre privacidad del empleado y obligaciones legales de la empresa;
- respuestas incompletas o desordenadas ante una autoridad.
El problema no es solo tecnológico. Es jurídico, organizativo y de cumplimiento.
Qué debería revisar una empresa ahora
A raíz de esta sentencia, las empresas deberían revisar cómo gestionan las comunicaciones profesionales en canales personales o informales.
Política de uso de dispositivos y aplicaciones
La empresa debe definir qué canales pueden utilizarse para comunicaciones profesionales y cuáles deben evitarse.
Si se permite el uso de herramientas personales en determinados casos, conviene establecer límites claros: para qué asuntos, con qué medidas de seguridad, durante cuánto tiempo y bajo qué condiciones.
Protocolos de conservación de información
Las comunicaciones relevantes para la actividad empresarial no deberían quedar dispersas en cuentas o dispositivos personales sin control.
La empresa necesita criterios sobre conservación, archivo, trazabilidad y eliminación, especialmente en áreas de riesgo como dirección, operaciones corporativas, competencia, compliance, recursos humanos o protección de datos.
Información y transparencia con empleados
Si la empresa puede necesitar acceder o solicitar determinadas comunicaciones profesionales en un contexto legal concreto, esto debe estar explicado de forma transparente y proporcionada.
La información previa a empleados y directivos es clave para reducir conflictos y reforzar la legitimidad de cualquier actuación posterior.
Coordinación entre legal, DPO, compliance e IT
Una respuesta ante una autoridad no puede improvisarse. Deben coordinarse varias funciones:
- legal, para analizar el alcance del requerimiento;
- DPO o privacidad, para valorar el tratamiento de datos personales;
- compliance, para ordenar la respuesta interna;
- IT/security, para preservar integridad, trazabilidad y seguridad;
- dirección, para tomar decisiones rápidas y documentadas.
Lo que esta sentencia no permite
Es importante no sacar conclusiones excesivas.
La sentencia no autoriza un control empresarial ilimitado sobre dispositivos personales. Tampoco elimina el derecho a la privacidad de empleados, directivos o terceros. Y no convierte cualquier mensaje privado en documentación accesible.
Lo que sí confirma es que, bajo condiciones estrictas, una autoridad puede exigir información profesional que esté en herramientas personales si esas herramientas se han usado para fines de trabajo.
La diferencia está en el contexto, la finalidad, la proporcionalidad, las garantías y la delimitación de la solicitud.
Conclusión: el cumplimiento empieza antes del requerimiento
La principal lección para las empresas no es esperar a recibir una solicitud de información para decidir qué hacer con los mensajes de WhatsApp, Telegram, Signal o SMS usados para trabajar.
La lección es anticiparse.
Una política clara de comunicaciones, un protocolo de conservación documental y una gestión adecuada de privacidad laboral pueden marcar la diferencia entre una respuesta ordenada y un problema de cumplimiento mucho mayor.
En Auratech Legal ayudamos a empresas a revisar sus políticas de protección de datos, uso de herramientas digitales, función DPO y protocolos de cumplimiento para reducir riesgos antes de que aparezcan en una investigación o requerimiento formal.
Solicitar revisión de protocolos
Preguntas frecuentes
¿Puede una empresa revisar el móvil personal de un empleado?
No de forma general o indiscriminada. Cualquier acceso o solicitud debe tener base jurídica, finalidad legítima, proporcionalidad, información adecuada y garantías.
¿Puede una autoridad pedir mensajes de una app personal usada para trabajar?
Según la sentencia analizada, sí puede hacerlo en determinadas condiciones si la herramienta personal se utilizó con fines profesionales y la solicitud está delimitada.
¿Usar WhatsApp para trabajo genera riesgos legales?
Sí. Puede generar problemas de conservación documental, privacidad, seguridad, protección de datos y respuesta ante investigaciones o requerimientos.
¿Qué debe hacer una empresa?
Revisar sus políticas de comunicación, uso de dispositivos personales, conservación de información y protocolos de respuesta ante autoridades.