¿Es procedente el despido disciplinario de un responsable informático por enviar datos médicos sin encriptar a destinatarios erróneos, o debe considerarse nulo por discriminación al encontrarse el trabajador de baja médica en el momento de la extinción?
Sentencia de Tribunal Supremo del 20/11/2025 en materia de DESPIDO DISCIPLINARIO Y SANCIONES
Resumen
El Tribunal Superior de Justicia desestima el recurso de suplicación del trabajador y confirma la procedencia del despido disciplinario. La Sala considera que el envío masivo de correos electrónicos con datos sensibles de pacientes sin la debida encriptación constituye una negligencia grave e inexcusable que quiebra la confianza y transgrede la buena fe contractual, dada la posición de responsabilidad del trabajador en materia de seguridad de la información. Asimismo, descarta la nulidad por discriminación vinculada a la enfermedad, ya que la empresa acreditó una causa objetiva y razonable para el despido, desvinculada de la situación de incapacidad temporal del actor.
Supuesto de hecho
• El trabajador, que ocupaba el puesto de responsable del área de informática y seguridad de la información en un centro hospitalario, recibió el encargo de enviar correos electrónicos a pacientes con material biológico depositado en el centro para informarles de un cambio de gestión.
• Al ejecutar la tarea, se produjeron errores en los envíos y se constató que el fichero adjunto no había sido encriptado, permitiendo que los receptores accedieran libremente a información personal de otros titulares.
•Tras detectar el incidente y recibir reclamaciones, la empresa inició una investigación interna y notificó la brecha de seguridad a la Agencia Española de Protección de Datos.
•El trabajador inició un proceso de incapacidad temporal días después de iniciarse la investigación.
•Finalmente, la empresa procedió al despido disciplinario alegando abuso de confianza, violación de secretos y ejecución deficiente de los trabajos.
•La sentencia de instancia declaró el despido procedente, decisión que el trabajador recurrió alegando, entre otros motivos, discriminación por razón de enfermedad al amparo de la Ley 15/2022.
Consideraciones jurídicas
•El Tribunal confirma que la conducta del trabajador encaja en la transgresión de la buena fe contractual y el abuso de confianza (art. 54.2.d ET). Argumenta que el actor, como participante en el tratamiento de datos (art. 32.4 RGPD), tenía un deber de diligencia cualificado y la obligación de velar por la seguridad y confidencialidad de la información. El envío de ficheros sin encriptar, permitiendo el acceso de terceros a datos médicos sensibles, constituye una negligencia grave que vulnera la normativa de protección de datos y causa un perjuicio evidente a la entidad y a los titulares de los datos. Esta actuación justifica la pérdida de confianza empresarial, independientemente de que no existiera una intención dolosa de causar daño, pues se quebrantaron los deberes básicos de su cargo.
•Finalmente, el Tribunal descarta la vulneración del derecho a la no discriminación por razón de enfermedad. Aunque la baja médica puede operar como indicio discriminatorio invirtiendo la carga de la prueba, la Sala concluye que la empresa ha logrado acreditar una causa disciplinaria real, objetiva y seria (la brecha de seguridad) que justifica la extinción por sí misma, rompiendo el nexo causal con la enfermedad. Además, el Tribunal señala que la baja médica del trabajador se produjo de manera coetánea al descubrimiento de los hechos y la investigación, sugiriendo que podría tratarse de una baja "estratégica" para preconstituir una prueba de nulidad, y reitera que la existencia de una causa legal probada excluye el móvil discriminatorio.
Conclusión Lexa
El incumplimiento grave de las normas de seguridad de la información y protección de datos por parte del personal responsable de informática justifica el despido disciplinario por transgresión de la buena fe contractual, al considerar que la falta de encriptación de datos sensibles constituye una negligencia inexcusable que rompe la confianza depositada en el trabajador. La existencia de una situación de incapacidad temporal en el momento del despido no conlleva automáticamente su nulidad si la empresa acredita la realidad y gravedad de la causa disciplinaria, demostrando que la decisión extintiva es ajena a la enfermedad del trabajador.
¿Te queda alguna duda? Resuélvela al momento
Enlace
Haga click en el código roj y será copiado a su portapapeles.
Péguelo en el campo Nº ROJ de la página del CENDOJ para realizar la búsqueda.