¿Vulnera el principio de confidencialidad y la normativa de protección de datos que una empresa revele la identidad de todas las personas denunciantes y denunciadas al comunicar la resolución de un protocolo interno por acoso laboral?
Sentencia de Consulta Vinculante (AEAT, SS) del 04/03/2025 en materia de ACOSO LABORAL
¿Te queda alguna duda? Resuélvela al momento
Resumen
La Agencia Española de Protección de Datos (AEPD) sanciona a la empresa reclamada con una multa de 200.000 euros (reducida a 120.000 euros por reconocimiento de responsabilidad y pago voluntario) por vulnerar el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD). La Agencia determina que la empleadora infringió el principio de integridad y confidencialidad al enviar la resolución de cierre de una investigación por acoso laboral a todos los implicados, revelando el nombre, apellidos y puesto de trabajo tanto de la parte denunciante como de los denunciados, desprotegiendo su identidad en un contexto de especial sensibilidad.
Supuesto de hecho
- A instancias del comité de empresa y de una persona trabajadora, la empresa activó su protocolo interno de actuación frente al acoso laboral, tramitando un expediente en el que figuraban cinco personas denunciantes y diez denunciadas.
- Al finalizar la instrucción, la empresa envió un correo electrónico al comité de empresa y directamente a todas las personas implicadas informando del cierre del expediente (el cual concluía que no existía acoso).
- En dicha comunicación, la empleadora adjuntó la resolución en la que se identificaba de forma expresa y cruzada, con nombres, apellidos y puestos de trabajo, a cada uno de los denunciantes y de los denunciados.
- Como consecuencia de esta revelación, toda la plantilla afectada conoció quién había denunciado a quién.
- Esto originó que uno de los acusados se dirigiera a una de las denunciantes en un grupo de WhatsApp de trabajo publicando el mensaje: "Gracias por la denuncia".
- Esta situación provocó a la empleada afectada un ataque de ansiedad y su posterior baja médica, motivando la interposición de sendas reclamaciones ante la AEPD.
Consideraciones jurídicas
- La Agencia Española de Protección de Datos centra el análisis material de fondo en la vulneración del principio de "integridad y confidencialidad" consagrado en el artículo 5.1.f) del RGPD. Esta norma exige ineludiblemente que los datos personales sean tratados de tal manera que se garantice una seguridad adecuada, protegiéndolos contra el tratamiento no autorizado o ilícito mediante la aplicación de medidas técnicas y organizativas apropiadas.
- Al evaluar la actuación de la empresa en su rol de responsable del tratamiento, la Agencia constata que la empleadora posibilitó el acceso generalizado a los datos de carácter personal de todas las partes involucradas en el procedimiento. La remisión de la resolución sin anonimizar las identidades (permitiendo que todos los denunciantes y denunciados tuvieran acceso a la identidad de los demás) destruyó por completo la confidencialidad exigible en este tipo de expedientes internos.
- La resolución subraya el alto grado de negligencia empresarial atendiendo a la naturaleza específica de los datos revelados. El hecho de ostentar la condición de denunciante o denunciado en un proceso de acoso laboral constituye una información sumamente sensible que exige un nivel de diligencia profesional y un deber de cuidado excepcional. La falta de rigor de la empresa al desatender este deber de confidencialidad para proteger a las personas afectadas constituye una infracción muy grave de los principios básicos del tratamiento, lo que justifica la imposición de la sanción económica y la orden imperativa de adoptar medidas correctivas para ajustar sus operaciones a la legalidad.
Conclusión Lexa
Constituye una infracción muy grave del principio de integridad y confidencialidad (artículo 5.1.f del RGPD) que una empresa revele la identidad de las partes implicadas al notificar el cierre de un protocolo por acoso laboral. La empleadora, como responsable del tratamiento, está obligada a garantizar la máxima confidencialidad en la tramitación de estos expedientes internos; exponer el nombre, apellidos y condición (denunciante o denunciado) de las personas trabajadoras frente al resto de implicados evidencia un alto grado de negligencia que vulnera la normativa de protección de datos, acarreando la imposición de elevadas sanciones económicas por parte de la Agencia Española de Protección de Datos.
Enlace
Haga click en el código roj y será copiado a su portapapeles.
Péguelo en el campo Nº ROJ de la página del CENDOJ para realizar la búsqueda.