BOLETÍN DE ACTUALIDAD DE DERECHO CIVIL

La confidencialidad en procedimientos de acoso laboral: Res. AEPD 28-04-2025.

Introducción

La resolución impone una sanción de 120.000€ a una empresa por vulnerar el principio de confidencialidad.

Hechos del caso

La empresa sancionada, con ocasión de un procedimiento interno de acoso laboral, envió por correo electrónico al Comité de Empresa las resoluciones individuales de cinco denunciantes y diez denunciados, revelando la identidad completa (nombres, apellidos y puestos de trabajo) de todos los implicados. Esta documentación fue posteriormente reenviada a los afectados, haciendo que tanto denunciantes como denunciados pudieran conocer la identidad de todas las partes involucradas en el procedimiento.

Los hechos tuvieron graves consecuencias para al menos una de las denunciantes, quien, tras conocer que su identidad había sido expuesta, sufrió un ataque de ansiedad que derivó en baja médica. La revelación de su condición de denunciante provocó además reacciones en grupos de WhatsApp de trabajo, donde recibió mensajes como «Gracias por la denuncia» acompañados de emojis de besos.

Fundamentos jurídicos de la infracción

1. Vulneración del principio de integridad y confidencialidad

La AEPD determinó que la empresa había vulnerado el principio establecido en el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), que establece que los datos personales serán:

«tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).»

Esta vulneración se produjo al permitir el acceso no autorizado a datos personales de carácter sensible, como es la condición de denunciante o denunciado en un procedimiento de acoso laboral.

2. Calificación de la infracción

La infracción fue tipificada conforme al artículo 83.5.a) del RGPD, que considera infracciones graves las vulneraciones de «los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9».

En el ordenamiento español, la LOPDGDD en su artículo 72.1.a) califica como infracciones muy graves «El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679», con un plazo de prescripción de tres años.

3. Criterios para la determinación de la sanción

Para establecer la cuantía de la sanción, la AEPD aplicó los criterios del artículo 83.2 del RGPD, considerando especialmente:

  • La naturaleza y gravedad de la infracción (art. 83.2.a): Se valoró la especial sensibilidad de los datos revelados, al tratarse de información sobre denunciantes y denunciados en un procedimiento de acoso laboral.
  • La intencionalidad o negligencia (art. 83.2.b): La AEPD destacó «un alto grado de negligencia», citando jurisprudencia del Tribunal Supremo que establece que cuando la actividad de una empresa conlleva «constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto».
  • El volumen de negocio de la empresa: Como factor relevante para garantizar que la sanción fuera «efectiva, proporcionada y disuasoria», según exige el artículo 83.1 del RGPD.

Argumentos de la empresa sancionada y su valoración

La empresa argumentó en su defensa que «no existió de hecho ni siquiera la mera posibilidad de un desconocimiento de identidades» porque «todos los interesados estaban perfectamente al tanto de todas las identidades de los afectados desde un principio». También alegó que la denuncia inicial fue planteada por el Comité de Empresa «sin invocar el derecho al anonimato de los denunciantes».

La AEPD desestimó estos argumentos, recordando que:

  1. El responsable del tratamiento debe garantizar la confidencialidad de los datos personales con independencia de que algunos interesados pudieran conocer previamente cierta información.
  2. La responsabilidad proactiva (accountability) exige que sea el responsable quien tome las medidas necesarias para proteger los datos personales, sin que pueda trasladar esta responsabilidad a los interesados.

Procedimiento sancionador y terminación

La empresa se acogió a las reducciones previstas en el artículo 85 de la Ley 39/2015 (LPACAP):

  • 20% de reducción por reconocimiento de responsabilidad
  • 20% adicional por pago voluntario

Esto redujo la sanción inicial de 200.000€ a 120.000€. La resolución recoge expresamente que «la efectividad de las citadas reducciones está condicionada, en todo caso, al desistimiento o renuncia de cualquier acción o recurso en vía administrativa».

Medidas correctivas impuestas

Además de la sanción económica, la AEPD requirió a la empresa para que, en un plazo de tres meses desde que la resolución fuera firme y ejecutiva, adoptara «las medidas adecuadas para garantizar la confidencialidad de los datos personales, conforme a lo establecido en el artículo 5.1.f) del RGPD».

Este requerimiento se fundamenta en el artículo 58.2.d) del RGPD, que faculta a las autoridades de control para «ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado».

Implicaciones jurídicas para las empresas

1. Deber reforzado de confidencialidad en procedimientos de acoso

Esta resolución evidencia que en procedimientos de acoso laboral existe un deber reforzado de confidencialidad, con independencia de que los protocolos internos de la empresa lo establezcan expresamente. Este deber deriva directamente del RGPD y es exigible a todos los responsables del tratamiento.

La Sala de lo Social del Tribunal Supremo ya había establecido en diversas sentencias (como STS 412/2020 de 9 de junio) la importancia de garantizar la confidencialidad en estos procedimientos como garantía del derecho fundamental a la intimidad (art. 18 CE).

2. Insuficiencia de los protocolos formales sin implementación efectiva

La empresa sancionada disponía de protocolos formales que reconocían el deber de confidencialidad, pero no los aplicó efectivamente. Esto subraya la necesidad de que las empresas no sólo dispongan de protocolos adecuados, sino que también implementen medidas organizativas y técnicas para garantizar su cumplimiento efectivo.

3. Legitimación activa para reclamar ante la AEPD en estos casos

Esta resolución confirma la legitimación de las personas afectadas por revelaciones indebidas de su condición de denunciantes o denunciados para presentar reclamaciones ante la AEPD, independientemente de las acciones que pudieran emprender en el ámbito laboral.

4. Compatibilidad con otras responsabilidades

La responsabilidad administrativa en materia de protección de datos es compatible con posibles responsabilidades en otros ámbitos:

  • Responsabilidad laboral: Por incumplimiento de obligaciones previstas en la Ley de Prevención de Riesgos Laborales (art. 14 LPRL)
  • Responsabilidad civil: Por daños morales derivados de la vulneración de la confidencialidad (art. 82 RGPD)
  • Responsabilidad en materia de igualdad: Si el acoso tiene componente discriminatorio (LO 3/2007)

https://www.aepd.es/documento/ps-00505-2024.pdf

Post Views: 62
Back to top arrow