En el corazón de cualquier canal de denuncia interna hay una promesa implícita: confidencialidad. Sin embargo, esa promesa se rompió, y la empresa ha sido sancionada por ello. La Agencia Española de Protección de Datos (AEPD) le ha impuesto una multa de 200.000 euros por haber difundido, sin justificación legal, la identidad de cinco trabajadores que habían denunciado internamente situaciones de acoso laboral.
La resolución completa, ya publicada y disponible en la web oficial de la AEPD, recoge con claridad los hechos: tras la instrucción de un protocolo de acoso en julio de 2024, la empresa envió al Comité de Empresa un correo con las resoluciones correspondientes a cada denunciante, en el que figuraban nombres, apellidos y puestos de trabajo tanto de los denunciantes como de los denunciados. Ese mismo correo fue reenviado a otras personas dentro de la organización, hasta alcanzar un total de 15 destinatarios, lo que hizo que la identidad de los denunciantes se conociera públicamente en todo el centro de trabajo.
Uno de ellos sufrió un ataque de ansiedad el mismo día, acabando de baja médica. Además, se compartieron comentarios en grupos de WhatsApp laborales que evidenciaban el conocimiento generalizado de estos datos, intensificando el sufrimiento emocional de los implicados.
La empresa alegó que los implicados conocían previamente las identidades entre sí y que no se solicitó el anonimato. Sin embargo, la AEPD considera que no existía base legal alguna para esa divulgación, lo que constituye una infracción muy grave del artículo 6 del Reglamento General de Protección de Datos (RGPD).
La multa inicial de 200.000 euros fue finalmente reducida a 120.000 euros, gracias a que la empresa reconoció su responsabilidad y realizó el pago voluntario, tal como contempla el artículo 85 de la Ley 39/2015 (LPACAP), aplicando una reducción del 40%.
No es la primera vez que esta empresa se ve envuelta en situaciones similares: en 2023 ya fue sancionada con 80.000 euros por otro caso de cesión indebida de datos personales. Actualmente, según la AEPD, hay dos investigaciones adicionales abiertas por hechos comparables en otras provincias.
Este caso deja un mensaje claro: la protección de los datos personales en entornos laborales no es una recomendación, sino una obligación legal, especialmente cuando está en juego la integridad emocional y profesional de quienes denuncian. La AEPD reitera que la confidencialidad en estos procesos no es negociable.