Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

¿Sigues enviando Excels con datos personales por email? Esto es lo que deberías saber (y evitar)

por

Dos resoluciones recientes de la Agencia Española de Protección de Datos (AEPD) han puesto en evidencia algo que muchas empresas —incluidas farmacias— aún no han entendido del todo: los datos personales no pueden circular por correo electrónico sin protección.


Los casos sancionados afectan a farmacias que, en su operativa diaria, intercambiaban correos electrónicos con listados de residentes de centros geriátricos, incluyendo nombre, apellidos, tipo de absorbente (pañales) y otra información sensible, sin ninguna clase de cifrado. Los archivos iban en Excel, abiertos y sin contraseña. En algunos casos, incluso se compartían usuarios y contraseñas para acceder a plataformas que contienen información sanitaria.


¿Por qué esto es grave?


Este hecho vulnera el art. 32 del Reglamento General de Protección de Datos (RGPD), el cual obliga a aplicar medidas técnicas adecuadas para garantizar la seguridad de los datos personales. No hablamos de un capricho burocrático: los datos de salud se protegen especialmente debido a su sensibilidad y su uso indebido puede tener consecuencias personales y sociales muy graves.


¿Y qué dijo la AEPD?


En ambas resoluciones (EXP202414366 y EXP202414356), la AEPD dejó claro que el uso de medios electrónicos no seguros para transmitir datos personales constituye una infracción. Si bien las farmacias intentaron escudarse en que no eran responsables del tratamiento, los hechos demostraron lo contrario, dado que accedían a los datos, los consultaban, los usaban y los almacenaban.


La AEPD indicó que ambas farmacias realizaban esta actividad en su condición de responsables del tratamiento, dado que eran las que determinaban los fines y medios de dicha actividad. Todo ello sin los contratos adecuados, sin una Evaluación de Impacto de Protección de Datos (EIPD) válida y, lo más llamativo, sin cifrado en los correos.


¿Qué implica cifrar un correo electrónico?


Significa que el contenido del mensaje (y los archivos adjuntos) solo pueden ser leídos por el destinatario previsto. Si alguien intercepta el email, verá un galimatías. Esto se puede hacer fácilmente con herramientas como archivos comprimidos con contraseña (ej. ZIP con contraseña fuerte) o servicios de correo seguro.


Conclusión


  • Si manejas datos personales —más aún si son de salud— el cifrado ya no es opcional, es obligatorio.
  • Enviar un Excel con nombres y datos médicos sin cifrar es lo mismo que enviar la ficha clínica de una persona por una postal abierta. No es aceptable, ni legal.
  • Si crees que «esto no me aplica porque yo solo sigo instrucciones», recuerda: si accedes y usas los datos, eres corresponsable.

Proteger la privacidad no es solo cumplir una norma, es respetar la dignidad de las personas. Y eso empieza por tomar en serio la seguridad, incluso (y sobre todo) en algo tan cotidiano como un email.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer las resoluciones, haga clic aquí y aquí.

Privacidad en peligro: sancionan a una inmobiliaria por espiar buzones sin consentimiento

por

Un extrabajador de ESTUDIO ALCAZAR DEL GENIL 2022, S.L denunció a la inmobiliaria ante la AEPD por haber sido obligado a tomar fotos de buzones de comunidades de vecinos para crear una base de datos de posibles clientes, sin permiso ni información previa a los afectados. Al negarse, fue despedido.


Durante la investigación, la AEPD confirmó que se recopilaron datos personales (nombres, direcciones, puertas y plantas) sin consentimiento y que se subieron a una base de datos utilizada con fines comerciales.


Fundamentos Jurídicos Clave


¿Qué se considera un dato personal?


Según el Reglamento General de Protección de Datos (RGPD), cualquier información que identifique o pueda identificar a una persona, como nombre, dirección o incluso datos de un buzón, se considera dato personal.


¿Qué se entiende como tratamiento de datos?


El tratamiento de datos implica cualquier acción sobre esos datos: recogerlos, almacenarlos, usarlos, etc.


¿Se puede hacer lo que hizo la empresa?


No. El artículo 6 del RGPD exige una base legal para tratar datos personales. Por ejemplo, el consentimiento del afectado, un contrato, una obligación legal o un interés legítimo que no dañe los derechos del ciudadano.


En este caso, la empresa no tenía ninguna base legal, ya que no pidió permiso ni informó a los vecinos, y tampoco se trataba de una fuente pública ni había otro motivo que lo justificara.


Infracción


La AEPD concluye que Estudio Alcázar cometió una infracción muy grave por tratar datos personales sin base legal (art. 6 RGPD), además de ser consciente de la infracción (art. 83.2.b) RGPD), pues la supervisora del extrabajador le reconoció que esta práctica formaba parte de la metodología implementada para la gestión de zonas.


Además, la inmobiliaria no informó a los titulares de los datos recabados ningún tipo de información sobre dicho tratamiento. Esto supone una vulneración del art. 14 RGPD, el cual establece la obligación del responsable del tratamiento de proporcionar información clara y accesible al interesado cuando los datos personales no han sido obtenidos directamente de él.


Sanción


La AEPD impuso una sanción de 20.000€, que, tras el reconocimiento de su responsabilidad y pago voluntario, quedó reducida a 12.000€.


Conclusión


Este caso pone en evidencia algo fundamental: el nombre del buzón es un dato protegido por ley. Nadie puede recopilar esa información sin el permiso del titular para usarla con fines comerciales. Las empresas tienen la obligación de respetar su privacidad y solo pueden usar sus datos cuando tienen una base legal clara. Si no es así, se enfrentan a sanciones como esta.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Responsabilidad civil en la era digital: el Supremo confirma la condena a Gamboa Automoción por una estafa informática

por

La sentencia del Tribunal Supremo nº136/2025 resuelve un recurso de casación presentado por GAMBOA AUTOMOCIÓN S.A., condenado como responsable civil subsidiario por una estafa informática sufrida por la empresa CYASA (Comercio y Asistencia S.A.).


La estafa se produjo en abril de 2018 cuando terceros suplantaron el correo de un empleado de Gamboa para inducir a CYASA a realizar una transferencia por más de 32.000 euros a una cuenta fraudulenta. El Tribunal confirma la responsabilidad subsidiaria de Gamboa por omitir medidas de prevención tras una brecha de seguridad detectada el día anterior a los hechos.


La cuestión clave que analiza el Supremo gira en torno a si los requisitos del artículo 120.3 del Código Penal se cumplen para imponer esa responsabilidad civil. Este artículo exige que: el delito se cometa en un «establecimiento» de la entidad; exista infracción de normas reglamentarias o disposiciones de la autoridad atribuible a sus administradores o empleados; y que dicha infracción esté relacionada causalmente con el delito.


El Tribunal señala que el sistema informático—como medio habitual y necesario—forma parte del entorno funcional del negocio, por lo que, pese a que el delito no ocurrió físicamente en un local, sí ocurrió en un «entorno operativo» de la empresa.


Asimismo, la empresa incurrió en una omisión relevante, pues, a pesar de a haber detectado un incidente similar con otra empresa (Romauto Motion S.A.) la mañana del 10 de abril de 2018, Gamboa no avisó a sus demás socios comerciales ni tomó medidas para prevenir un nuevo ataque.


Por todo lo expuesto, el Tribunal consideró probado que hubo una brecha de seguridad en su sistema informático y que la falta de comunicación e inacción de la empresa fue clave para que el fraude a CYASA se consumara.


Lecciones clave para las empresas


Esta sentencia marca un precedente importante:


  • No actuar ante una brecha de seguridad equivale a asumir riesgos legales.
  • Las empresas tienen un deber proactivo de protección y de comunicación cuando detectan vulnerabilidades que pueden afectar a terceros.
  • No es necesario identificar al empleado culpable para que se imponga responsabilidad civil a la empresa.
  • Las medidas preventivas no son opcionales. Son una obligación legal y operativa.

Conclusión


Esta sentencia es una advertencia clara para todas las empresas: si una empresa detecta una incidencia de seguridad y no informa ni actúa con rapidez, puede terminar condenada, aunque no haya participado en el delito.


Hoy más que nunca, la gestión de riesgos digitales es parte esencial del cumplimiento legal y del deber de diligencia empresarial. Y cuando ese deber se incumple, los costes van mucho más allá de lo tecnológico: impactan en la reputación, las finanzas y la responsabilidad jurídica de la empresa.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Confidencialidad Vulnerada: La Importancia del Deber de Confidencialidad en Canales de Denuncias

por

La Agencia Española de Protección de Datos (AEPD) ha sancionado a SERVICIOS ESPECIALES, S.A. con 200.000€ por no cumplir con el deber de confidencialidad en las denuncias realizadas en el ámbito laboral.


La resolución se fundamenta en dos reclamaciones presentadas por trabajadores que denunciaron la vulneración de la confidencialidad en el tratamiento de datos personales durante un protocolo de acoso laboral. La empresa divulgó información sensible, incluyendo nombres y apellidos de los denunciantes y denunciados, lo cual generó consecuencias negativas para los afectados, como ataques de ansiedad y exposición pública en el entorno laboral.


Si bien todo inició con la activación del protocolo de acoso laboral, la Empresa finalizó el proceso adjuntando la resolución a cada uno de los denunciantes—5 en total—, lo cual destapaba la identidad de cada uno de los ellos (pues se exponían tanto sus nombres y apellidos como sus puestos de trabajo) y de los denunciados—10 en total—a los cuales también se reenvió la resolución.


Como consecuencia, uno de los denunciados, a través de un grupo de WhatsApp del trabajo y el mismo día del conocimiento de la resolución, envió un emoji de un beso y la frase: «Gracias por la denuncia». Este hecho le generó a una de las denunciantes un ataque de ansiedad, por el cual se acogió a la baja médica.


Por su parte, la empresa alegó que «todos sabían ya quiénes eran», por lo que el anonimato no fue solicitado expresamente y que, además, el Comité de Empresa que llevó a cabo el protocolo tampoco lo pidió.


Es necesario recordar que el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD) establece el principio de integridad y confidencialidad e indica que los datos personales deben ser tratados de manera que se garantice una seguridad adecuada, por lo cual debe evitarse el acceso no autorizado o ilícito y protegerse contra su pérdida o daño accidental.


En este caso, la empresa vulneró este principio al permitir el acceso a datos personales sensibles (identidades de denunciantes y denunciados) por parte de múltiples personas—15—, sin garantizar medidas técnicas u organizativas apropiadas.


Por todo lo expuesto, la AEPD impuso una sanción de 200.000€, la cual quedaría reducida a 120.000€ en caso de que la empresa reconociera su responsabilidad y procediera al pago voluntario.


Conclusión


La resolución evidencia una vulneración significativa del principio de confidencialidad establecido en el RGPD, la cual afectó directamente a los derechos fundamentales de los denunciantes, pues desprotegió sus identidades. Este caso resalta la necesidad de implementar medidas estrictas para garantizar la seguridad y privacidad en el tratamiento de datos personales en entornos laborales.


Como siempre, cuidad los datos y ¡cuidaos!


Para leer la resolución, haga clic aquí.

Revolución Legal: Nuevas Medidas Contra el Abuso Digital Infantil

por

El Gobierno español ha aprobado un proyecto de Ley Orgánica innovador para proteger a los menores en entornos digitales, abordando problemas como el grooming, las deepfakes sexuales y el acceso indiscriminado a contenido inapropiado. Presentada por los ministros Félix Bolaños y Sira Rego, esta norma busca posicionar a España como referente en la regulación del entorno digital para menores. El texto incluye reformas legales, controles tecnológicos y medidas educativas y sanitarias.


Entre los puntos más destacados está la reforma del Código Penal, que introduce nuevas figuras delictivas y agrava penas existentes. Por ejemplo, se tipifica como delito el uso de inteligencia artificial para crear deepfakes sexuales o vejatorios, con penas de prisión de hasta dos años. También se regula el grooming (práctica en la que adultos engañan a menores para obtener material pornográfico) y se considera como un agravante en delitos contra la libertad sexual. Además, se crean las órdenes de alejamiento digital, que prohíben a los agresores interactuar con sus víctimas en redes sociales u otras plataformas virtuales.


La ley también obligará a fabricantes de dispositivos digitales a incluir controles parentales gratuitos y fáciles de usar desde fábrica. Estos controles estarán disponibles en móviles, tabletas, televisores inteligentes y ordenadores. Asimismo, se eleva de 14 a 16 años la edad mínima para que los menores puedan dar su consentimiento al tratamiento de datos personales en redes sociales.


En el ámbito educativo, se impulsarán programas de alfabetización digital para enseñar a los menores a identificar riesgos y combatir desinformación. Los centros educativos tendrán autonomía para regular el uso de dispositivos electrónicos en sus instalaciones.


Por otro lado, en el sector sanitario, se implementarán pruebas en atención primaria para detectar problemas asociados al uso excesivo o inadecuado de tecnologías entre los jóvenes.


La norma también afecta a plataformas digitales y creadores de contenido con gran alcance, exigiéndoles implementar sistemas efectivos de verificación de edad y etiquetado claro sobre contenido potencialmente dañino. Además, prohíbe el acceso de menores a prácticas como las cajas de recompensa (loot boxes) en videojuegos.


Por último, se anuncia una Estrategia Nacional liderada por el Ministerio de Juventud e Infancia, que incluirá campañas informativas y una escuela para padres sobre entornos digitales. Con esta ley, España busca no solo proteger a los menores frente a riesgos actuales, sino también anticiparse a futuros desafíos tecnológicos.


Conclusión


La aprobación del proyecto de ley para proteger a menores en entornos digitales marca un hito en la regulación tecnológica en España. Con medidas como controles parentales obligatorios, reformas del Código Penal y programas educativos, el país busca liderar la protección infantil en el ámbito digital. Esta norma no solo aborda problemas actuales como el grooming y las deepfakes, sino que también establece un marco legal pionero para enfrentar futuros desafíos tecnológicos.


Como siempre, cuidad los datos y ¡cuidaos!

DNI por WhatsApp: Pedir la foto del DNI acaba en multa

por

El 5 de febrero de 2025, la AEPD impuso una sanción de 2.000€ a un alojamiento turístico por solicitar el envío del DNI por WhatsApp.

Hechos

La Agencia Española de Protección de Datos (AEPD) ha resuelto un procedimiento sancionador contra RESIDENTIAL QUALITY ENJOY, S.L. por exigir a sus clientes el envío de imágenes completas del DNI (incluyendo menores) a través de WhatsApp, sin informar sobre el tratamiento. La empresa alegó cumplir con el Real Decreto 933/2021 sobre registro de huéspedes. Sin embargo, la AEPD determinó que su práctica excedía los requisitos legales.

En primer lugar, la exigencia de aportar la imagen completa del DNI era desproporcionada, pues se recogía información innecesaria como el rostro, el número de expedición o los nombres de progenitores. Esto va en contra del principio que exige limitar los datos a lo «adecuado, pertinente y estrictamente necesario» (art. 5.1.c) RGPD).

Además, cabe recordar que el RD 933/2021 solamente requiere datos textuales básicos (nombre, apellidos, número de documento), no copias del documento.

Asimismo, la AEPD subrayó que, a pesar de que el alquiler turístico está sujeto a obligaciones de registro, (art. 4.3 RD 933/2021), «debe cumplirse sin necesidad de solicitar la entrega de copia o imagen del documento de identidad o escaneo del mismo, pues existen otras alternativas igualmente válidas que permiten realizar esta comprobación de forma fiable.» Es decir, verificar la identidad no equivale a almacenar copias del DNI, pues con métodos menos invasivos, como la transcripción manual de datos, se podría haber cumplido la obligación de registro perfectamente.

Por otro lado, el método de envío de la imagen del DNI solicitado era WhatsApp, por lo que surge un riesgo añadido, pues esta red social carece de cifrado y no se considera una vía segura a través de la cual enviar datos tan sensibles como los contenidos en el DNI.

Por todo lo expuesto, la AEPD decidió imponer una sanción de 2.000€ que, con el reconocimiento de responsabilidad y el pago voluntario por parte de RESIDENTIAL QUALITY ENJOY, S.L., quedó reducida a 1.200€.

Conclusión

Esta resolución recuerda a las empresas que no pueden utilizar la «seguridad» como excusa para recopilar datos excesivos, pues la imagen completa del DNI contiene información sensible irrelevante para el registro de huéspedes.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

El rompecabezas del tiempo efectivo: ¿qué cuenta como jornada laboral?

por

La Sentencia del Tribunal Superior de Justicia de Madrid nº962/2020 resuelve un conflicto laboral emblemático sobre el derecho a la desconexión digital y los límites de la formación obligatoria fuera de la jornada laboral. El caso enfrentó a un controlador aéreo de ENAIRE, quien fue sancionado por no completar cursos de formación online en sus días de descanso, y realizó algunas precisiones respecto al derecho a la desconexión digital.

Hechos

La empresa exigió a sus empleados realizar un curso formativo online—preceptivo, según la normativa europea y el convenio colectivo—de dos horas en sus periodos de descanso, sin alterar su horario laboral presencial, y destacó su obligación de realizar el curso «en los ciclos de descanso de tres días que de conformidad con el artículo 33 del convenio colectivo le son programados». Sin embargo, uno de los controladores aéreos rechazó realizar el curso fuera de su jornada laboral y exigió que se incluyera en su cuadrante de servicios (391 empleados realizaron el curso en plazo). Finalmente, lo completó fuera del plazo establecido, junto con otros 41 compañeros.

Debido a la falta de obediencia por parte de este empleado, la empresa le sancionó con 3 días de suspensión de empleo y sueldo, fundamentando su decisión en el artículo 95.2.i) EBEP, el cual tipifica como falta muy grave la «desobediencia abierta a órdenes de un superior».

En este sentido, el Tribunal razona que, si bien la orden de realizar formación en días de descanso aparentemente contravendría el derecho del trabajador a la intimidad personal y familiar del artículo 18 de la Constitución en su vertiente de desconexión digital, regulado en el artículo 88 de la LOPDGDD, las dos horas dedicadas a la realización del curso online por el trabajador son reconocidas por la empresa como tiempo de trabajo y, por tanto, no existe derecho a la desconexión digital dentro del tiempo de trabajo, sino solamente dentro del tiempo de descanso.

De esta manera, el Tribunal razona que la empresa puede ordenar la realización de trabajo retribuido fuera de horario laboral y, por ello, el período para realizar la formación a distancia computaría como horas extraordinarias de tiempo efectivo de trabajo, evidentemente, con las consecuencias legales derivadas.

Además, añade que el convenio colectivo, en su artículo 29.1.1.3, indica claramente que «la jornada programable no incluye el tiempo necesario para la formación que no tenga la consideración de actividad aeronáutica». Teniendo en cuenta que la formación era relativa a Recursos Humanos, la exigencia de que la formación online del artículo 227 del convenio se incluyera en la jornada programable carecería de fundamento jurídico.

El Tribunal argumenta que la falta de criterios establecidos por la empresa para garantizar el cumplimiento del número de horas de jornada exigido no implica la ilegalidad de la orden ni justifica la desobediencia de esta, pues hay que tener en cuenta el escaso número de horas de formación requerido y el largo período para realizarlo (hecho que permitía perfectamente el respeto de los descansos legales). Si bien podría cuestionarse la legalidad de la orden en relación con la ordenación del tiempo de trabajo y descansos, no implica la vulneración de un derecho fundamental, tal y como alega el trabajador.

Asimismo, el motivo por el que el trabajador se negó a cumplir la orden no fue su ignorancia sobre las normas aplicables a jornada y descansos para elegir correctamente el momento de su actividad formativa online, sino la exigencia de que se incluyese en la jornada programable de actividad aeronáutica, lo cual el Tribunal indica que carece de fundamentación jurídica.

Conclusión

Esta sentencia ofrece un razonamiento profundo sobre los límites entre trabajo y descanso. Si bien el derecho a la desconexión digital es esencial, hay matices que valorar, pues, como hemos indicado, no existe derecho a la desconexión digital dentro del tiempo de trabajo, sino solamente dentro del tiempo de descanso.

Puede leer la sentencia aquí

Como siempre, cuidad los datos y ¡cuidaos!

Protección de datos vs. mentiras en el CV: Cuando la empresa cruza la línea de la legalidad en su investigación

por

El 19 de abril de 2024, el TSJ de Castilla y León (STSJ CL 1540/2024) declara improcedente el despido disciplinario de una trabajadora por mentir en su CV. La empresa había detectado irregularidades, y por ello solicitó el informe de vida laboral a los trabajadores para contrastar dicha información con sus currículums. Así es cómo pudieron descubrir que en el de esta empleada había discrepancias. No obstante, el Tribunal ha declarado el despido como improcedente debido al uso ilícito de los datos personales.

Hechos

La empleada, que inició su relación laboral con la empresa en septiembre de 2020, aportó inicialmente un currículum en el que indicaba que había trabajado como operaria de cadena en el departamento de soldadura en Renault. Sin embargo, este dato no aparecía en el currículum que entregó en 2022; en su lugar, se indicó otra experiencia profesional como operaria de cadena que no se correspondía con lo expuesto en su día.

Ese mismo año, a raíz de un procedimiento interno de selección, la empresa solicitó a los trabajadores la remisión de su vida laboral y, al contrastar el currículum de la trabajadora con su vida laboral, se observó la incongruencia. 

Por ello, en marzo de 2022 la empresa procedió a notificarle su despido disciplinario, con efectos a partir del 24 de junio y fundamentado en su transgresión a la buena fe contractual (artículo 54.2.d) del Estatuto de los Trabajadores).

No obstante, la empleada impugnó el despido y alegó que se había vulnerado su derecho a la protección de datos, dado que la empresa empleó su informe de vida laboral para justificar su despido sin ningún tipo de base legítima para ello.

Si bien el tribunal de instancia declaró la procedencia del despido, la trabajadora recurrió al TSJ de Castilla y León, el cual ha declarado el despido como improcedente.

Este TSJ ha reconocido el uso ilícito de los datos personales cedidos por la trabajadora que realizó la empresa, dado que esta los utilizó para un fin distinto al que se suponía—la trabajadora había entregado el informe voluntariamente para procesos de selección, no para una investigación disciplinaria.

Asimismo, el Tribunal subraya la ilicitud del tratamiento, indicando que se ha vulnerado el derecho a la protección de datos de la trabajadora, el cual considera como un derecho fundamental protegido por el artículo 18.4 de la Constitución española

El Tribunal considera que esta vulneración es motivo suficiente para afirmar la improcedencia, dado que, en caso de prescindir de la información obtenida de la vida laboral de la empleada, el despido carecería de justificación. Además, destaca el defecto formal en la carta de despido, ya que esta no describía con claridad la conducta sancionada y que la falta alegada por la empresa había prescrito, pues, desde el conocimiento de la supuesta irregularidad en marzo de 2022 hasta el despido en junio de 2022, ya habían transcurrido más de 60 días, lo cual superaba el plazo legal para sancionar una falta muy grave.

El Tribunal Superior de Justicia de Castilla y León condenó a la empresa a readmitir a la trabajadora o abonarle una indemnización de 5.462’42€, además de una indemnización adicional por daños morales de 3.000€, debido a la vulneración de su derecho fundamental a la protección de datos.

Conclusión

La empresa no pudo acreditar un interés legítimo superior al derecho fundamental a la protección de datos de la trabajadora, por lo que la causa del despido quedó invalidada. Este fallo sienta un precedente sobre los límites de las empresas para verificar CVs, priorizando el cumplimiento del RGPD incluso en casos de presunta mala fe del trabajador.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la resolución, haga clic aquí.

Cómo un acceso a ASNEF costó el puesto a un directivo bancario: El TS equipara consultar morosidad sin causa al robo de información

por

La Sentencia del Tribunal Supremo nº37/2025 resuelve un recurso de casación presentado por Banco Sabadell SA contra una sentencia que declaró improcedente el despido disciplinario de un empleado por accesos no autorizados a ficheros de morosidad y retrocesión irregular de comisiones.

Hechos probados

El trabajador, que llevaba desde el 2000 trabajando para el Banco Sabadell, consultó datos en ficheros de morosidad de varias personas y empresas sin consentimiento, algunas de ellas sin relación contractual con el banco. Por ello, la entidad bancaria le comunicó su despido disciplinario, fundamentado en infracciones muy graves tipificadas en el art. 69.1 del convenio colectivo del sector de Banca, relativo al art. 54.2.d) del Estatuto de los Trabajadores.

El Banco alegó que el trabajador realizó varias consultas sin justificación de ficheros de morosidad. Concretamente, el empleado realizó, sin justificación alguna, búsquedas de hasta 4 personas físicas y una empresa en seis fechas distintas. Una de estas personas investigadas presentó una queja al Banco por haberse consultado sus datos personales tener una base legítima para ello y reclamó que se le compensara el daño ocasionado.

Asimismo, el actor también realizó retrocesiones de comisiones por un valor de 133’80€ a favor de un amigo que era cliente de otra oficina.

El trabajador despedido defendió sus acciones alegando que realizó los accesos a los ficheros de morosidad como una mera acción comercial. Por otro lado, respecto a las retrocesiones de comisiones, indicó que lo realizó como un favor a su amigo personal.

No obstante, el Banco decidió ejecutar el despido disciplinario al considerar los hechos como muy graves y constitutivos de transgresión de la buena fe contractual, abuso de confianza en el desempeño del trabajo y fraude o deslealtad en las gestiones encomendadas.

Decisión del Tribunal Supremo

En este supuesto, el Tribunal Supremo considera probada la transgresión de buena fe contractual y abuso de confianza por parte del ahora ex-empleado y subraya el uso indebido de facultades directivas para beneficiar a terceros sin interés empresarial. Además, destaca que los accesos realizados en más de una ocasión fueron accesos a datos sensibles sin base legítima, por lo que se constituye una vulneración del art. 20 de la LOPDGDD, precepto que indica que solo se puede consultar la información de los sistemas de información crediticia cuando se mantuviese una relación contractual con el afectado.

Por otro lado, se identifica también una vulneración del art. 5.1.f) RGPD, el cual prevé que los datos personales deben ser tratados garantizando una seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito (principio de confidencialidad).

Conclusión

Esta sentencia sienta precedente sobre el alcance del deber de lealtad en el manejo de datos personales, estableciendo que el uso no autorizado de sistemas de información crediticia por directivos bancarios, aunque sea puntual, justifica la extinción contractual por riesgo sustancial para los intereses empresariales.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la sentencia, haga clic aquí.

Revisión Textos Legales Web