Una empresa es sancionada con 200.000 euros por divulgar la identidad de una trabajadora que denunció acoso laboral

Fue en abril del pasado año cuando desde el comité de empresa se solicitó a la empresa la apertura de un protocolo de acoso laboral por una serie de hechos, que la trabajadora amplió en lo que a ella le afectaba mediante un correo electrónico (desde su dirección personal) a la comisión instructora, con la que realizó varias entrevistas. Tras tener conocimiento del conflicto, la empresa accedió a abrir ese protocolo de acoso con cinco denunciantes y diez denunciados, aunque dos meses después, la empresa envió un correo electrónico al comité de empresa informando que daba por finalizada la instrucción, adjuntando la resolución a cada una de las personas denunciantes (cinco en total) y destapando así la identidad de cada una de ella, donde se exponían sus nombres y apellidos y sus puestos de trabajo, además de los denunciados.

A la vez, la empresa envió las mismas resoluciones (identificando denunciantes y denunciados) a todo el listado de personas, haciéndolas claramente identificables (a 15 personas en total). La trabajadora que denunció expone en la resolución de la AEPD consultada por este periódico que todo el centro de trabajo supo que era una de las denunciantes y conoció a los denunciados, extremo que originó que uno de ellos pusiera en un grupo de WhatsApp de trabajo un emoji de un beso y la frase: «Gracias por la denuncia». Como consecuencia de ello, ese mismo día sufrió un ataque de ansiedad, que le llevó a baja médica. La trabajadora denunció también que, en otro grupo de WhatsApp, un tercero informó que se había enviado un correo electrónico en el que se especificaba quiénes eran los denunciantes y denunciados, no manteniéndose la supuesta confidencialidad que presuponía la trabajadora, que en ningún momento autorizó que se divulgara su nombre.

En su descargo, la empresa se excusó ante la AEPD asegurando que no era posible apreciar una infracción de la legislación «por la razón de que todos los interesados estaban perfectamente al tanto de todas las identidades de los afectados desde un principio». Asimismo, aseguró que un hecho trascendente fue que la denuncia que dio inicio al procedimiento seguido internamente fue planteada por el comité de empresa «sin invocar el derecho al anonimato de los denunciantes, ni tampoco estos lo solicitaron».

Si bien la empresa decidió adoptar medidas preventivas y reparadoras, como un programa de información y un seminario específico para los miembros que deban integrar las diversas comisiones, además de un texto de disculpa a los afectados no fue suficiente a ojos del organismo encargado de velar por la normativa en materia de protección de datos.

Ahora considera, a a la vista de los hechos, que ha habido una vulneración del artículo 5.1.f) del RGPD al no garantizarse debidamente la confidencialidad de los datos de carácter personal. Además desde Protección de Datos justifican su sanción por la naturaleza y gravedad de la infracción, «pues hay que tener en cuenta que el tratamiento llevado a cabo permitió el acceso a los datos de carácter personal de los denunciantes y denunciados en un proceso de acoso laboral, y, por ende, la gravedad de las conductas puestas de manifiesto en este tipo de procedimientos«.

Asimismo, toma en consideración la intencionalidad o negligencia en la infracción y en este sentido subrayan la falta de diligencia en el cumplimiento de las obligaciones que le impone la normativa de protección de datos: «El grado de negligencia en este caso se considera alto, atendida la naturaleza de los datos personales revelados (condición de denunciante o denunciado) y las especiales exigencias de confidencialidad que deben de respetarse en procesos de acoso laboral», recoge la resolución.

Finalmente, la empresa se acogió al pronto pago tras reconocer su responsabilidad, lo que ha supuesto una reducción de un 40% del total (120.000 euros).