Vulneración de la intimidad por acceso indebido a datos

El Tribunal Supremo fija doctrina sobre seguridad de datos en el ámbito laboral

El Tribunal Supremo ha condenado a un despacho de abogados por vulnerar el derecho a la intimidad de una empleada, tras confirmarse que un documento con información personal de la trabajadora estuvo accesible en una carpeta compartida dentro del sistema informático del bufete. La Sala Primera ha estimado el recurso interpuesto por la afectada, al considerar que el acceso indebido a esta información configura una intromisión ilegítima en su esfera personal.

Como consecuencia de esta vulneración, el Tribunal ha fijado una indemnización de 3.000 euros en concepto de daño moral. Además, se ha ordenado al despacho demandado que adopte medidas para evitar futuras infracciones de esta naturaleza.

Intimidad y protección de datos: una diferenciación esencial

La sentencia distingue entre el derecho fundamental a la intimidad, reconocido en el artículo 18.1 de la Constitución Española, y el derecho a la protección de datos personales, regulado en el artículo 18.4 de la misma norma y desarrollado por la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

El Tribunal recuerda que ambos derechos, aunque interrelacionados, no son equivalentes. Mientras que la normativa de protección de datos regula el tratamiento de la información personal en términos de consentimiento, licitud y medidas de seguridad, el derecho a la intimidad se ve vulnerado cuando datos de carácter sensible son expuestos sin justificación, independientemente de que haya mediado un tratamiento activo de los mismos.

En este caso concreto, el hecho de que la demanda laboral contuviera información íntima de la empleada llevó a la Sala a concluir que no solo se produjo una vulneración del derecho a la protección de datos, sino también una intromisión ilegítima en su intimidad.

El acceso indebido como intromisión ilegítima

Uno de los aspectos clave de la resolución es que establece que la intromisión ilegítima no requiere una intencionalidad dolosa o culposa por parte del responsable. Basta con que la exposición de los datos haya ocurrido sin una causa legítima para que se configure la vulneración.

El Tribunal Supremo subraya que la exposición accidental de los datos, derivada de una deficiente gestión de seguridad, no exime de responsabilidad a la empresa. El bufete demandado tenía la obligación de garantizar la confidencialidad de la información, implementando medidas de seguridad adecuadas para impedir el acceso no autorizado. La falta de estas medidas constituye una omisión negligente que derivó en una vulneración de derechos fundamentales.

Principio de responsabilidad y medidas correctivas

El fallo confirma la obligación de los empleadores de garantizar la protección de los datos personales de sus trabajadores, conforme al principio de responsabilidad proactiva establecido en el artículo 24 del Reglamento General de Protección de Datos. Este principio exige que los responsables del tratamiento implementen medidas técnicas y organizativas apropiadas para garantizar la seguridad de la información.

La sentencia recalca que la eliminación del archivo tras el acceso indebido no mitiga la infracción, ya que la intromisión ilegítima se consuma en el momento en que los datos quedan expuestos sin justificación.

Consecuencias jurídicas y alcance de la resolución

El Tribunal Supremo ha condenado al despacho de abogados a abonar una indemnización de 3.000 euros por daño moral a la trabajadora afectada. Además, la resolución impone al bufete la obligación de adoptar medidas de seguridad para evitar la repetición de hechos similares en el futuro.

Este pronunciamiento fija un criterio relevante para futuras controversias en materia de privacidad en el entorno laboral. Las empresas, incluidas las firmas legales, deben garantizar que la información sensible de sus empleados se gestione con un nivel adecuado de seguridad, ya que su omisión puede derivar en responsabilidad civil e incluso en sanciones administrativas conforme a la normativa de protección de datos.