Confidencialidad en los protocolos de acoso laboral

Uno de los principios esenciales en protección de datos es el de confidencialidad. Y aunque parezca una obviedad, una reciente resolución de la Agencia Española de Protección de Datos (AEPD) (EXP202411409)

https://www.aepd.es/documento/ps-00505-2024.pdf

nos recuerda con contundencia que una mala gestión interna de la información en el entorno laboral puede acabar en una sanción muy seria. En este caso, 120.000 euros de multa a una empresa por revelar la identidad de los denunciantes y denunciados en un protocolo interno de acoso laboral.

Pensemos por un momento en la cantidad de protocolos internos, denuncias, conflictos o situaciones sensibles que se pueden producir dentro de una cadena hotelera o en una empresa turística con muchos trabajadores. Y pensemos también en la naturaleza de los datos que tratamos: nombres, cargos, departamentos, correos internos, chats corporativos… Todo ello está protegido por el Reglamento General de Protección de Datos (RGPD).

¿Qué ocurrió?

Una empresa gestionó un procedimiento interno de acoso laboral iniciado por el comité de empresa. Al finalizarlo, envió la resolución a los distintos actores implicados, pero lo hizo de forma tal que todos los denunciantes y denunciados quedaban identificados ante terceros, incluso mediante el reenvío de correos y mensajes en grupos de WhatsApp de trabajo. Uno de los denunciados llegó incluso a burlarse en público de una de las denunciantes. La AEPD consideró que esta actuación vulneró el artículo 5.1.f) del RGPD, al no garantizar la confidencialidad e integridad de los datos personales tratados.

¿Qué debe tener en cuenta una empresa turística?

En nuestro sector, donde conviven perfiles diversos (desde camareras de piso hasta personal de oficina, pasando por animadores, recepcionistas o directivos), los conflictos laborales existen, y los canales de denuncia o los protocolos de acoso están a la orden del día. La resolución de la AEPD nos deja varios aprendizajes clave:

- Confidencialidad no es opcional, aunque "todo el mundo sepa quién ha denunciado". No se trata de la percepción subjetiva, sino de las medidas objetivas adoptadas por la empresa.

- La protección del denunciante y del denunciado debe ser garantizada en todo momento, incluso en la redacción de documentos internos.

- La cultura de cumplimiento debe empezar en los protocolos internos. No basta con tener un procedimiento; hay que saber aplicarlo correctamente, y eso implica formar al personal que lo gestiona.

- El uso de canales digitales como el correo electrónico o los grupos de mensajería interna debe estar alineado con las políticas de privacidad. No vale con "reenviar un email" si contiene información confidencial.

El sector turístico es un sector con una gran exposición pública, rotación de personal y una dinámica laboral intensa. Esto lo convierte en un entorno especialmente sensible para este tipo de riesgos. Es crucial que las empresas del sector implementen protocolos de actuación que, además de cumplir con la legislación laboral, estén auditados desde el prisma del RGPD.

Desde MONLEX, insistimos en la necesidad de revisar todos los procedimientos internos que impliquen tratamiento de datos personales. Porque no solo se trata de evitar sanciones —que también—, sino de proteger el derecho fundamental a la intimidad en un entorno de trabajo seguro y profesional.

Guillermo Caro

Abogado de MONLEX

gcaro@monlexabogados.es