Incumpliment de la confidencialitat en la gestió de casos d'assetjament laboral: una anàlisi des de la perspectiva de la protecció de dades

Informes5 de febrer del 2026
Identificar els denunciants i les persones acusades sense les mesures adequades vulnera el RGPD i pot donar lloc a responsabilitats en matèria de protecció de dades i de dret laboral.

1. Punts clau de la Resolució de l'AEPD

La Resolució analitza el deure reforçat de confidencialitat que ha de regir el tractament de dades personals en els canals interns de denúncia i, en particular, en els procediments de assetjament laboral.


En el cas examinat, l'empresa va comunicar resolucions internes que identificaven expressament els denunciants i els acusats, la qual cosa va permetre un accés generalitzat i innecessari a informació especialment sensible. En total, l'incident va afectar 15 persones (5 denunciants i 10 acusats).


L'AEPD va estimar la reclamació i va concloure que l'empresa va infringir el principi d'integritat i confidencialitat en no adoptar mesures efectives per limitar l'accés i preservar l'anonimat, vulnerant així l'article 5.1.f) del RGPD. L'Agència subratlla que, en aquest tipus de procediment, el nivell de diligència exigit al responsable del tractament és especialment alt.


Entre els aspectes més rellevants, la Resolució destaca:

  • L'obligació de preservar l'anonimat en les comunicacions internes, evitant la identificació innecessària de les persones interessades.
  • No hi ha cap justificació basada en protocols interns o coneixements previs, ja que la confidencialitat és una obligació objectiva del responsable del tractament.
  • Requisit de diligència reforçada en els procediments d'assetjament i en l'ús del canal intern de denúncies, atesa la sensibilitat de les dades tractades.

2. Marc normatiu aplicable

Els sistemes d'informació interns troben la seva base jurídica a l'article 24 de la LOPDGDD i a la Llei 2/2023, de protecció de les persones denunciants. El tractament de dades està protegit per l'interès públic (art. 6.1.e RGPD), sense que això eximiixi del compliment estricte dels principis de minimització, proporcionalitat, confidencialitat i limitació del tractament.


La Guia de l'AEPD sobre protecció de dades en les relacions laborals estableix criteris clars per a aquests sistemes, especialment pel que fa a:

  • Limitació de l'accés a les dades, restringit al personal de control intern, de compliment normatiu o a personal designat.
  • Accés excepcional per part de Recursos Humans, només quan sigui essencial per a la tramitació d'un procediment disciplinari específic.
  • Períodes de conservació estrictes, amb l'eliminació de les dades en un termini màxim de tres mesos, excepte per a la seva conservació anònimitzada o per demostrar el funcionament del sistema.

3. Rellevància jurídica i laboral de la Resolució

3.1. Incompliment del deure de protecció en relació amb la salut i la seguretat

La revelació d'identitats en un procediment d'assetjament pot crear un entorn laboral hostil i causar danys psicològics, la qual cosa constitueix una infracció dels articles 14 i 15 de la LPRL. En el cas analitzat, una denunciante va patir un episodi d'ansietat i es va posar de baixa el mateix dia que es va revelar la informació.


3.2. Incompliment del deure reforçat de confidencialitat

L'AEPD considera que això constitueix una infracció greu del nivell de diligència deguda requerit, agreujada per la circulació d'informació en grups de WhatsApp laborals i per la intervenció indeguda de tercers. L'existència de protocols interns és insuficient si no van acompanyats de mecanismes eficaços per garantir-ne el compliment efectiu.


3.3. Risc de violació dels drets fonamentals

La conducta analitzada pot afectar la privacitat, la dignitat, la integritat moral i el dret a la indemnització dels treballadors, amb possibles sancions laborals molt greus en virtut de la LISOS, amb multes de fins a 225.018 €.


4. Mesures correctores i conseqüències

L'AEPD pot ordenar l'adopció de mesures tècniques i organitzatives per posar el tractament en conformitat amb el RGPD, amb un termini màxim de tres mesos des de la data en què la decisió es faci executòria. L'incompliment d'aquestes ordres pot donar lloc a nous procediments disciplinaris, independentment del pagament de la sanció inicial.

5. Conclusions

La sentència reforça un missatge clar: la gestió dels canals interns de denúncia i dels procediments de assetjament laboral requereix la màxima diligència i confidencialitat. La identitat dels denunciants i dels denunciats s'ha de protegir estrictament, fins i tot quan en la pràctica sigui possible deduir-la.


Des d'una doble perspectiva —protecció de dades i dret laboral—, el cas demostra que la mera existència de protocols no és suficient. És essencial implementar mesures eficaces que limitin l'accés, controlin les comunicacions internes i minimitzin els riscos de divulgació indeguda d'informació sensible.


La resolució de l'AEPD consolida, per tant, un estàndard exigent que exigeix a les empreses revisar i enfortir els seus sistemes d'informació interns, integrant la privadesa, la prevenció de l'assetjament i la gestió del risc psicosocial com a elements centrals del seu compliment normatiu.


Nota informativa elaborada pel Departament de Protecció de Dades i Dret Laboral d'ECIJA Madrid.

Una persona camina sola sobre un puente moderno en blanco y negro.
Descarregar en pdf

Sòcies/socis relacionats

ACTUALITAT #ECIJA