Volver al blog

Formación sobre phishing respetuosa con la privacidad: comités de empresa, consentimiento y aspectos esenciales del RGPD

Cómo diseñar un programa que sea eficaz *y* fácil de usar para los empleados: opciones de anonimización, retención de datos y avisos claros

Por Equipo de Autophish|Publicado el 8/24/2025
Cover image for Formación sobre phishing respetuosa con la privacidad: comités de empresa, consentimiento y aspectos esenciales del RGPD

⚖️ Este artículo ofrece información general; para decisiones específicas sobre tu organización, consulta a un abogado cualificado en tu jurisdicción.

EN RESUMEN

Puedes llevar a cabo simulaciones de phishing impactantes en la UE sin alienar al personal ni correr el riesgo de incumplir la normativa si:

  1. utilizas los intereses legítimos (no el consentimiento) como base jurídica principal y documentas una prueba de ponderación;
  2. involucrando a los comités de empresa desde el principio y codificando las medidas de protección en un acuerdo de empresa cuando sea necesario;
  3. dando prioridad a la anonimización/pseudonimización, la retención breve y los avisos transparentes; y
  4. realizando una EIPD si tu contexto apunta a un alto riesgo (por ejemplo, la vigilancia sistemática).

1) Base legal: por qué los intereses legítimos suelen prevalecer sobre el consentimiento

En el contexto laboral, el consentimiento rara vez se da libremente debido al desequilibrio de poder entre el empleador y el empleado. Las Directrices 05/2020 sobre el consentimiento del Comité Europeo de Protección de Datos subrayan que el consentimiento del empleado solo es válido en circunstancias excepcionales y sin consecuencias adversas por negarse. Para las simulaciones de phishing, lo más adecuado es el artículo 6, apartado 1, letra f), sobre intereses legítimos, documentado con una Evaluación de Intereses Legítimos (EIL) que sopese tus necesidades de seguridad frente a los derechos y expectativas de los empleados.

Buenas prácticas para la LIA

  • Define el interés (concienciación sobre seguridad; prevención del fraude).
  • Identifica las expectativas razonables de los empleados (la formación es normal; la elaboración de perfiles encubiertos no lo es).
  • Enumera las medidas de mitigación (véanse las secciones 3-5).
  • Deja constancia de por qué el consentimiento sería inadecuado en tu contexto.

Referencias: Directrices 05/2020 sobre el consentimiento del CEPD; Considerando 47 del RGPD (expectativas razonables).

2) Comités de empresa: Alemania y Austria en el punto de mira

Si operas en países con una fuerte cogestión, involucra al comité de empresa antes de la implementación.

  • Alemania (BetrVG §87(1) n.º 6): el comité de empresa participa en la codeterminación de la «introducción y uso de dispositivos técnicos diseñados para supervisar el comportamiento o el rendimiento de los empleados». Incluso los paneles de control más sencillos pueden activar esto, por lo que es habitual contar con un Betriebsvereinbarung (acuerdo de empresa) que establezca el alcance, el tratamiento de datos y las garantías.
  • Austria (ArbVG §96(1) n.º 3): las medidas de supervisión y los sistemas técnicos que puedan afectar a la dignidad humana requieren el consentimiento del comité de empresa (o el consentimiento individual si no hay comité de empresa).

Qué incluir en el acuerdo o la política de la empresa
Finalidad y alcance, base legal, datos mínimos recopilados, no usar las métricas por sí solas con fines disciplinarios, quién ve qué, calendario de conservación y anonimización, lista de proveedores (encargados del tratamiento/subencargados), derechos de los empleados y una cláusula de revisión anual.

Fuentes: Alemania — BetrVG §87(1) n.º 6 (texto oficial en inglés); análisis de Luther Law. Austria — Resumen de Eurofound del ArbVG §96(1) n.º 3; explicación de Schoenherr.

3) Anonimización frente a seudonimización (y lo que significa para los informes)

  • Anonimización (Considerando 26 del RGPD): una vez que los datos son verdaderamente anónimos, el RGPD ya no se aplica.
  • Seudonimización (art. 4(5) del RGPD): los datos siguen siendo personales si pueden volver a vincularse mediante claves independientes; trátalos en consecuencia.

Modelo de informes centrado en la privacidad

  • Por defecto, agregados por equipo/ubicación.
  • Usa identificadores aleatorios estables para el análisis de tendencias en lugar de nombres; mantén la clave separada con un control de acceso estricto.
  • Muestra los resultados individuales solo a un grupo reducido que necesite conocerlos (p. ej., responsable de concienciación en seguridad + RR. HH.) y solo cuando sea necesario para un coaching específico.
  • Nunca recopiles contraseñas reales; si un usuario intenta enviar credenciales, muéstrale una página de formación y descartar cualquier entrada.

Para ver un ejemplo práctico de cómo una plataforma implementa estos conceptos, consulta la descripción general de la anonimización de AutoPhish: https://autophish.io/anonymization

4) Retención: cuanto más breve, más seguro (y así lo exige el principio)

El principio de limitación del almacenamiento del RGPD exige conservar los datos personales en forma identificable solo durante el tiempo necesario para el fin indicado. Para los programas de phishing, muchas pymes adoptan un plazo de dos niveles:

  • Plazo operativo (p. ej., 30-90 días): datos identificables disponibles para el coaching y la corrección.
  • Análisis posteriores a la campaña: a partir de ahí, agregar/anonimizar, conservando solo tendencias no identificables para el seguimiento de KPI a largo plazo.

Documenta esto en tus registros de tratamiento del artículo 30 y en el aviso de privacidad para empleados.

5) Avisos: sé transparente y utiliza un lenguaje sencillo (art. 13)

Antes de tu primera campaña, envía un breve aviso interno (o actualiza tu política de privacidad para empleados) en el que se explique: la finalidad (concienciación sobre seguridad), la base legal (intereses legítimos), qué datos recopilas (p. ej., correo electrónico, departamento, eventos de clics/informes), conservación, quién puede acceder a los datos a nivel individual (funciones limitadas), que no se utilizarán con fines disciplinarios los eventos aislados, los derechos de los empleados (acceso/oposición) y un contacto (DPO o responsable de privacidad).

Plantilla para copiar y pegar (adapta a tu contexto)

Realizamos simulaciones periódicas de phishing para fomentar la concienciación sobre la seguridad y reducir el riesgo de fraude. Tratamos tu nombre, correo electrónico del trabajo, departamento e interacciones en la simulación (p. ej., abierto/notificado/enviado). Nuestra base legal son los intereses legítimos (RGPD, art. 6(1)(f)). Los datos a nivel individual solo son visibles para el equipo de concienciación sobre la seguridad (y RR. HH. cuando sea necesario para ofrecer orientación específica). Conservamos los datos identificables durante [X días] y, a continuación, los agregamos o anonimizamos. Nunca almacenamos contraseñas reales. Puedes ejercer tus derechos sobre los datos (acceso, oposición, etc.) a través de [contacto]. Consulta [enlace a tu aviso completo de privacidad para empleados].

6) ¿Necesitas una EIPD?

Se requiere una Evaluación de Impacto sobre la Protección de Datos (EIPD) cuando el tratamiento pueda suponer un alto riesgo para las personas (art. 35). Las autoridades reguladoras y el CEPD señalan que la supervisión de los empleados puede dar lugar a una EIPD, especialmente cuando el tratamiento es sistemático o afecta a interesados vulnerables. Si tu programa introduce nuevas herramientas, métricas a gran escala o transferencias transfronterizas, es mejor pecar de precavido y realizar una EIPD.

Qué debe incluir: finalidad/necesidad, alternativas (opciones menos intrusivas), flujos de datos, riesgos, medidas de mitigación (anonimización, minimización, acceso basado en roles, retención breve, formación sin culpabilización) y un plan de revisión periódica.

7) Proveedores y transferencias internacionales

Si utilizas un proveedor de plataforma, tú eres el responsable del tratamiento y ellos son encargados del tratamiento; firma un acuerdo de tratamiento de datos que cumpla los requisitos del artículo 28 (seguridad, controles de los subencargados, asistencia con los derechos de los interesados, supresión al finalizar el servicio). Si el proveedor o sus subencargados de tratamiento se encuentran fuera del EEE, aplica las cláusulas contractuales tipo y realiza una evaluación de riesgos de la transferencia.

8) NIS2: si estás dentro del ámbito de aplicación, la formación ya no es opcional

Para las entidades sujetas a la Directiva NIS2, la dirección debe supervisar las medidas de gestión de riesgos de ciberseguridad (art. 20) y garantizar una formación adecuada y procesos de gestión de incidentes (art. 21). Aunque no estés dentro de su ámbito de aplicación, el listón que establece la NIS2 es un punto de referencia útil para las pymes.

9) Una arquitectura práctica que priorice la privacidad (y que siga funcionando)

  • Datos de entrada: nombre, correo electrónico, equipo y responsable (opcional). Sin correos personales; sin categorías especiales.
  • Durante la campaña: recopila solo datos de eventos (entregado, clicado, notificado, enviado). Si un usuario intenta introducir credenciales, muéstrale la formación y no captures información confidencial.
  • Control de acceso: el equipo de concienciación puede ver cohortes e identificadores anonimizados
  • Retención: 30–90 días para los datos identificados → anonimización automática; conserva los datos agregados para las tendencias interanuales.
  • Resultados: el informe ejecutivo muestra tasas y tendencias, no nombres.
  • Gobernanza: LIA + (si es necesario) DPIA en el archivo; registro del artículo 30 actualizado; acuerdo de trabajo aprobado.

Reflexiones finales

La formación sobre phishing respetuosa con la privacidad no es una contradicción. Con la base legal adecuada, una representación genuina de los trabajadores y medidas de protección técnicas como la anonimización y la retención breve, tu programa puede proteger a las personas y sus datos al tiempo que reduce el riesgo de forma cuantificable. En caso de duda, busca asesoramiento legal adaptado a tu situación concreta.

Referencias legales (Alemania y Austria)

Más información

Volver a todas las publicaciones

Ejecute su primera prueba de phishing en 10 minutos.

Regístrate gratis, sin tarjeta de crédito. Prueba Pro gratis durante 7 días cuando estés listo.

Comience a simular ahora¿Necesita una demostración para un equipo más grande? Habla con nosotros →