La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a una empresa por una infracción del artículo 5.1.f) del Reglamento General de Protección de Datos (en adelante, “RGPD”), relativa a la vulneración del principio de integridad y confidencialidad en el tratamiento de datos personales de sus empleados.
El procedimiento se inició a raíz de una reclamación presentada por una trabajadora, quien manifestó que, tras la resolución de un protocolo de acoso laboral en el que figuraba como denunciante, la empresa dio traslado de dicha resolución, que contenía sus datos identificativos y detalles del conflicto, a personas ajenas al proceso. Según la reclamante, la información circuló a través de correos electrónicos corporativos y capturas de pantalla en grupos de mensajería instantánea, lo que permitió que terceros no autorizados conocieran su identidad y el contenido de la denuncia.
En el análisis del expediente, la AEPD constata que la empresa no garantizó la reserva debida en un procedimiento especialmente sensible. La AEPD recuerda que el deber de confidencialidad es una obligación que incumbe al responsable del tratamiento y a cualquier persona que intervenga en cualquier fase del mismo, siendo este deber especialmente reforzado en protocolos de acoso, donde se manejan datos que afectan a la esfera más íntima y profesional de los trabajadores.
La resolución rechaza los argumentos de la entidad relativos a que la información ya era conocida por la plantilla o que la difusión fue realizada por terceros, señalando que el artículo 5.1.f) del RGPD impone al responsable la obligación de implementar medidas técnicas y organizativas para evitar tratamientos no autorizados o ilícitos. La AEPD subraya que es responsabilidad de la empresa de custodiar formalmente los documentos del expediente y limitar su acceso estrictamente a las personas autorizadas.
La AEPD fundamenta la sanción en los siguientes extremos:
- Tratamiento de datos personales altamente sensibles vinculados a un protocolo de acoso laboral.
- Quebrantamiento del deber de confidencialidad al permitir la difusión de la resolución del expediente a personas no interesadas.
- Falta de adopción de medidas de seguridad suficientes para garantizar la integridad de la información y evitar su filtración (art. 5.1.f) RGPD).
- Gravedad del perjuicio causado a la afectada, dada la naturaleza del conflicto y la exposición pública de su condición de denunciante.
Con esta resolución, la AEPD reitera que la gestión de los canales de denuncia y protocolos internos exige un rigor extremo en la protección de la identidad de los intervinientes, y que la negligencia en la custodia de estos expedientes constituye una infracción grave.
