La vulneración del deber de confidencialidad en la tramitación de expedientes de acoso laboral: un análisis desde la perspectiva de protección de datos

Informes5 de febrero de 2026
La identificación de denunciantes y denunciados sin medidas adecuadas vulnera el RGPD y puede generar responsabilidades en materia de protección de datos y derecho laboral.

1. Puntos clave de la Resolución de la AEPD

La Resolución analiza el deber reforzado de confidencialidad que debe presidir el tratamiento de datos personales en los canales internos de denuncias y, en particular, en los procedimientos de acoso laboral.


En el caso examinado, la empresa comunicó resoluciones internas identificando expresamente a las personas denunciantes y denunciadas, lo que permitió un acceso generalizado e innecesario a información especialmente sensible. En total, el incidente afectó a 15 personas (5 denunciantes y 10 denunciados).


La AEPD estima la reclamación y concluye que la empresa vulneró el principio de integridad y confidencialidad al no adoptar medidas eficaces para limitar los accesos y preservar el anonimato, incumpliendo así el artículo 5.1.f) del RGPD. La Agencia subraya que en este tipo de procedimientos el estándar de diligencia exigible al responsable del tratamiento es especialmente elevado.


Entre los aspectos más relevantes, la Resolución destaca:

  • Obligación de preservar el anonimato en las comunicaciones internas, evitando la identificación innecesaria de las personas afectadas.
  • Inexistencia de justificación por protocolos internos o conocimiento previo, ya que la confidencialidad es una obligación objetiva del responsable del tratamiento.
  • Exigencia de una diligencia reforzada en procedimientos de acoso y en el uso del canal interno de denuncias, dada la sensibilidad de los datos tratados.

2. Marco normativo aplicable

Los sistemas internos de información encuentran su base legal en el artículo 24 de la LOPDGDD y en la Ley 2/2023, de protección de las personas informantes. El tratamiento de datos se ampara en el interés público (art. 6.1.e RGPD), sin que ello exonere del cumplimiento estricto de los principios de minimización, proporcionalidad, confidencialidad y limitación del tratamiento.


La Guía de la AEPD sobre protección de datos en las relaciones laborales establece criterios claros para estos sistemas, especialmente en relación con:

  • Limitación del acceso a los datos, restringido al personal de control interno, compliance o encargados designados.
  • Acceso excepcional de RR. HH., únicamente cuando sea imprescindible para la tramitación de un procedimiento disciplinario concreto.
  • Plazos de conservación estrictos, con supresión de los datos en un máximo de tres meses, salvo conservación anonimizada o para acreditar el funcionamiento del sistema.

3. Relevancia jurídico-laboral de la Resolución

3.1. Incumplimiento del deber de protección en materia de seguridad y salud

La difusión de identidades en un procedimiento de acoso puede generar un entorno laboral hostil y daños psicológicos, constituyendo un incumplimiento de los artículos 14 y 15 de la LPRL. En el caso analizado, una denunciante sufrió un episodio de ansiedad y cursó baja médica el mismo día en que se difundió la información.


3.2. Quiebra del deber reforzado de confidencialidad

La AEPD aprecia una vulneración grave del estándar de diligencia exigible, agravada por la circulación de información en grupos de WhatsApp laborales y por la intervención indebida de terceros. La existencia de protocolos internos resulta insuficiente si no se acompañan de mecanismos efectivos que garanticen su cumplimiento real.


3.3. Riesgo de vulneración de derechos fundamentales

Las conductas analizadas pueden afectar a la intimidad, la dignidad, la integridad moral y el derecho a la indemnidad de las personas trabajadoras, con posibles sanciones laborales muy graves conforme a la LISOS, con multas de hasta 225.018 euros.


4. Medidas correctoras y consecuencias

La AEPD puede ordenar la adopción de medidas técnicas y organizativas para adecuar el tratamiento al RGPD, con un plazo máximo de tres meses desde que la resolución sea ejecutiva. El incumplimiento de estas órdenes puede dar lugar a nuevos procedimientos sancionadores, con independencia del pago de la multa inicial.

5. Conclusiones

La Resolución refuerza un mensaje claro: la gestión de los canales internos de denuncias y de los procedimientos de acoso laboral exige un nivel máximo de diligencia y confidencialidad. La identidad de denunciantes y denunciados debe preservarse de forma estricta, incluso cuando pueda resultar deducible en la práctica.


Desde una doble perspectiva —protección de datos y derecho laboral—, el caso evidencia que la mera existencia de protocolos no basta. Es imprescindible implantar medidas efectivas que limiten accesos, controlen las comunicaciones internas y reduzcan al mínimo los riesgos de difusión indebida de información sensible.


El pronunciamiento de la AEPD consolida así un estándar exigente que obliga a las empresas a revisar y reforzar sus sistemas internos de información, integrando la privacidad, la prevención del acoso y la gestión de riesgos psicosociales como elementos centrales de su cumplimiento normativo.


Nota informativa elaborada por el área de Protección de Datos y Laboral de ECIJA Madrid.

Una persona camina sola sobre un puente moderno en blanco y negro.
Descargar en pdf

Socios relacionados

ACTUALIDAD #ECIJA