La compañía difundió el nombre y apellidos de la trabajadora como «denunciante», lo que derivó en un mensaje de WhatsApp del denunciado («Gracias por la denuncia») y en una posterior baja médica por ansiedad. La AEPD sanciona por vulnerar la confidencialidad y apreciar «alto grado de negligencia».
La resolución de la Agencia Española de Protección de Datos (AEPD) impone 200.000 euros a la empresa por divulgar datos personales de una trabajadora que había denunciado acoso laboral. El organismo aprecia falta de diligencia y grave incumplimiento del deber de confidencialidad, teniendo en cuenta la naturaleza de la información difundida y las exigencias propias de estos procedimientos internos.
El caso: divulgación de identidad en protocolo de acoso laboral y consecuencias directas para la trabajadora
Todo comenzó en abril del pasado año, cuando el comité de empresa solicitó activar el protocolo de acoso laboral. La trabajadora amplió su denuncia ante la comisión instructora por correo electrónico desde su cuenta personal y mantuvo varias entrevistas. La empresa abrió el protocolo con cinco denunciantes y diez denunciados.
Dos meses después, la compañía dio por finalizada la instrucción y envió al comité de empresa las resoluciones individuales. En ellas figuraban nombres, apellidos y puestos de trabajo de denunciantes y denunciados. Además, remitió esas mismas resoluciones al listado completo de personas implicadas (15 en total), haciendo a todos claramente identificables. Según la trabajadora, todo el centro supo que era denunciante y uno de los denunciados escribió en un grupo de trabajo: «Gracias por la denuncia». Ese mismo día sufrió un ataque de ansiedad y causó baja médica. También se difundió en otro grupo que se había enviado un correo con la identidad de todas las personas afectadas, sin que ella hubiese autorizado la divulgación.
El fallo de la AEPD: confidencialidad y artículo 5.1.f del RGPD en procesos de acoso
A la vista de los hechos, la AEPD concluye que se vulneró el artículo 5.1.f) del RGPD al no garantizarse debidamente la confidencialidad de los datos personales. Valora la naturaleza y gravedad de la infracción, al haberse permitido el acceso a información especialmente sensible en un procedimiento de acoso laboral, y subraya el «alto grado de negligencia» en el cumplimiento de las obligaciones.
En su defensa, la empresa sostuvo que no existía infracción «por la razón de que todos los interesados estaban perfectamente al tanto de todas las identidades de los afectados desde un principio» y que la denuncia inicial del comité se presentó «sin invocar el derecho al anonimato de los denunciantes, ni tampoco estos lo solicitaron». Aunque la compañía adoptó medidas preventivas y reparadoras (programa de información, seminario específico y un texto de disculpa), el organismo consideró que no eran suficientes.
Impacto para empresas: obligación de confidencialidad en protocolos internos de acoso laboral
La resolución refuerza la obligación de preservar la confidencialidad en cualquier fase de los protocolos de acoso. Divulgar resoluciones con datos identificativos expone a las personas afectadas y puede desencadenar consecuencias psicológicas y laborales, además de importantes sanciones administrativas cuando no se extreman las cautelas.
Por último, la empresa se acogió al pronto pago tras reconocer su responsabilidad, aplicándose una reducción del 40%: la sanción quedó en 120.000 euros. Un desenlace que, en todo caso, actúa como aviso para revisar procedimientos internos, limitar accesos y formar a quienes gestionan estos expedientes.