La Agencia Española de Protección de Datos (“AEPD”) sanciona con 200.000 € a una empresa por por vulnerar la confidencialidad en la gestión de un procedimiento de acoso laboral.
Antecedentes
La AEPD analizó en 2024 dos reclamaciones presentadas por trabajadores frente a su empresa. Los reclamantes denunciaban que la compañía había divulgado su condición de denunciantes en un procedimiento interno de acoso laboral, identificándolos expresamente con nombre y apellidos.
En particular, una vez finalizada la tramitación del protocolo de acoso laboral, la empresa comunicó al Comité de Empresa el cierre de la instrucción mediante un correo electrónico al que adjuntó las resoluciones correspondientes a varios denunciantes (5 personas) y denunciados (10 personas). Además, remitió dichas resoluciones a diversos destinatarios, entre ellos los propios denunciantes y denunciados. La documentación incorporaba la identificación completa (nombre, apellidos y puesto de trabajo) de todas las personas implicadas.
Como consecuencia de dicha difusión, uno de los denunciados publicó en un grupo corporativo de WhatsApp un mensaje dirigido implícitamente a una de las denunciantes (“Gracias por la denuncia”), acompañado de un emoji de un beso, lo que evidenciaba que conocía su identidad. Al haberse realizado esta comunicación en un canal corporativo accesible a múltiples empleados, la condición de denunciante quedó expuesta de forma generalizada en el entorno laboral. Ese mismo día, la reclamante sufrió un ataque de ansiedad que derivó en una baja médica.
Por su parte, la empresa reconoció que en su protocolo de acoso sí existe la obligación de confidencialidad, pero que los denunciantes no solicitaron en ningún momento el anonimato. Asimismo, reconoció haber adoptado medidas correctoras a raíz del incidente: formación específica en protección de datos para los miembros de las comisiones de acoso y envío de disculpas a los afectados.
La AEPD concluye que la empresa vulneró el artículo 5.1.f) del RGPD (principio de integridad y confidencialidad), al permitir el acceso no autorizado a datos personales especialmente sensibles en el contexto de un procedimiento de acoso laboral.
La AEPD subraya que este tipo de procedimientos exige un nivel reforzado de confidencialidad, precisamente para proteger a las personas implicadas frente a posibles represalias o situaciones de presión. En este caso, la empresa difundió las resoluciones de forma que todas las partes tuvieron acceso a la identidad del resto, quebrando dicha confidencialidad.
Asimismo, el grado de negligencia se califica como elevado, teniendo en cuenta la naturaleza de la información tratada (condición de denunciante o denunciado en un proceso de acoso) y la obligación expresa de confidencialidad recogida en este tipo de protocolos.
La AEPD impuso inicialmente una sanción de 200.000 euros por la infracción del artículo 5.1.f) del RGPD. No obstante, la empresa se acogió a las reducciones previstas por reconocimiento de responsabilidad y pago voluntario, resultando en una sanción final de 120.000 euros.