Contactar
Sin categoría

Protección de datos de empleados: condena por revelar salario en carta de despido

· 9 min de lectura

El Tribunal Superior de Justicia de Canarias ha condenado a una conocida cadena de supermercados a indemnizar con 7.501 euros a una trabajadora cuyos datos personales —nombre completo y salario desglosado durante más de un año— fueron incluidos sin su consentimiento en la carta de despido dirigida a su pareja sentimental. La sentencia ofrece lecciones prácticas para cualquier empresa que gestione datos de su plantilla.

Qué ocurrió: datos personales en un expediente disciplinario ajeno

La empresa despidió a un trabajador alegando que percibía un complemento salarial indebido. Para justificar esa decisión, incorporó en la carta de despido el nombre completo de su pareja —también empleada de la compañía—, la relación sentimental entre ambos, la jornada reducida de cada uno y el salario mensual desglosado de ella desde septiembre de 2023 hasta diciembre de 2024.

La intención era demostrar, mediante comparación directa, que el trabajador despedido cobraba más de lo que le correspondía por una jornada equivalente. Sin embargo, la trabajadora afectada no había consentido en ningún momento que sus datos retributivos se utilizasen con ese fin ni se comunicasen a un tercero —su propia pareja— en el marco de un procedimiento disciplinario que no le concernía.

El razonamiento del tribunal: finalidad legítima, medio desproporcionado

La Sala de lo Social del TSJ de Canarias reconoce que la empresa tenía un interés legítimo en ejercer su potestad disciplinaria y motivar adecuadamente el despido. Ese punto no se discute. Lo que el tribunal censura es el medio elegido para satisfacer ese interés.

El análisis se articula en torno al principio de minimización de datos recogido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD) y al criterio de necesidad que exige el artículo 6.1.f) del mismo reglamento cuando el tratamiento se basa en el interés legítimo del responsable.

La doctrina del Tribunal Supremo de noviembre de 2024

La sentencia canaria se apoya expresamente en una resolución reciente del Tribunal Supremo que aborda la protección de datos en expedientes disciplinarios. Según esa doctrina, ni siquiera un fin tan relevante como garantizar la igualdad retributiva entre hombres y mujeres justifica la comunicación no consentida de datos que permitan identificar la retribución individualizada de una persona concreta.

Este criterio eleva considerablemente el estándar de diligencia exigible a las empresas cuando manejan información salarial de su plantilla, incluso con fines internos aparentemente razonables.

La alternativa que existía: anonimización

El tribunal señala con claridad que la empresa podía haber alcanzado exactamente el mismo objetivo —demostrar la percepción indebida del complemento— sin identificar a la trabajadora. Bastaba con:

  • Aludir genéricamente a «otro trabajador en idéntico puesto y jornada».
  • Utilizar datos anonimizados o cuadros comparativos sin nombre y apellidos.
  • Recurrir a los propios cuadros salariales que la empresa publicaba en los tablones de anuncio de sus centros de trabajo.

Precisamente la existencia de esos cuadros comparativos internos evidenciaba, según la Sala, que la empresa disponía de herramientas menos invasivas y no las utilizó. Esa omisión convierte el tratamiento en innecesario y, por tanto, ilícito.

¿Necesitas asesoramiento sobre este tema? Puedo ayudarte.

Consultar mi caso

Protección de datos de empleados: obligaciones clave para la empresa

Esta sentencia no crea derecho nuevo, pero sí concreta de forma muy didáctica las obligaciones que cualquier empresa debe observar al tratar datos personales de sus trabajadores. Conviene repasarlas.

1. Base de legitimación adecuada

El tratamiento de datos personales de empleados en el ámbito laboral suele ampararse en la ejecución del contrato de trabajo (art. 6.1.b RGPD) o en el interés legítimo del empleador (art. 6.1.f RGPD). Pero ninguna de estas bases es un cheque en blanco. Cada uso concreto de los datos debe superar un triple test:

  1. Idoneidad: ¿el tratamiento sirve realmente para la finalidad perseguida?
  2. Necesidad: ¿existe una alternativa menos invasiva que logre el mismo resultado?
  3. Proporcionalidad en sentido estricto: ¿el beneficio obtenido compensa la intromisión en los derechos del afectado?

En el caso analizado, el tratamiento era idóneo (la comparación salarial servía para motivar el despido), pero no era necesario (podía hacerse de forma anónima). Eso bastó para declarar la vulneración.

2. Principio de minimización

Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan. Incluir el nombre completo, la relación sentimental y el salario desglosado mes a mes de una persona ajena al expediente disciplinario excede con creces lo que el principio de minimización permite.

3. Comunicación de datos a terceros

Entregar la carta de despido al trabajador despedido supone, en la práctica, comunicar los datos de la otra empleada a un tercero. Aunque ese tercero sea también empleado de la empresa e incluso pareja de la afectada, la comunicación requiere una base de legitimación propia. El parentesco o la convivencia no sustituyen al consentimiento ni a ninguna otra base legal.

4. Datos salariales: sensibilidad creciente

Los datos retributivos no figuran entre las categorías especiales de datos del artículo 9 del RGPD (salud, ideología, afiliación sindical, etc.), y así lo reconoce la propia sentencia al fijar la indemnización en su tramo inferior. Sin embargo, la tendencia jurisprudencial —reforzada por la doctrina del Tribunal Supremo citada— apunta a un tratamiento cada vez más restrictivo de la información salarial individualizada, especialmente cuando permite identificar a una persona concreta.

Las empresas deben tener presente que la Ley 4/2023 de igualdad retributiva y las obligaciones de transparencia salarial no autorizan a difundir internamente los sueldos con nombre y apellidos. La transparencia se articula a través de registros retributivos y auditorías, no mediante la exposición individualizada en documentos disciplinarios.

Consecuencias prácticas de la sentencia

Indemnización: 7.501 euros

La Sala fijó la cuantía en el grado mínimo y tramo inferior de las infracciones previstas en la Ley de Infracciones y Sanciones en el Orden Social (LISOS), atendiendo a tres circunstancias atenuantes:

  • Los datos afectados no pertenecían a categorías especialmente sensibles.
  • No constaba un comportamiento reincidente de la empresa.
  • No se acreditó una lesión efectiva a la reputación de la trabajadora.

Aun así, la cifra no es despreciable, y en supuestos con agravantes —reincidencia, datos de salud, difusión externa— la indemnización podría multiplicarse considerablemente. Además, la Agencia Española de Protección de Datos (AEPD) podría imponer sanciones administrativas adicionales que, en el caso de infracciones graves del RGPD, alcanzan los 20 millones de euros o el 4 % del volumen de negocio anual global.

Obligación de supresión y rectificación

La sentencia ordena a la empresa retirar los datos personales de la trabajadora de cualquier expediente disciplinario en que figuren, procediendo a la supresión o rectificación de todos los documentos internos o externos donde se hayan incorporado indebidamente. Esta obligación de limpieza documental tiene un coste operativo que las empresas suelen infravalorar.

Recomendaciones para empresas que gestionan datos de empleados

A la luz de esta resolución y de la doctrina del Tribunal Supremo en la que se apoya, cualquier organización con trabajadores por cuenta ajena debería revisar sus protocolos internos en varios puntos:

  • Cartas de despido y expedientes disciplinarios: antes de incluir datos de terceros, verificar si la misma finalidad puede lograrse con información anonimizada o agregada.
  • Registros retributivos: garantizar que el acceso a datos salariales individualizados está restringido a quienes tienen una necesidad estricta de conocerlos (recursos humanos, dirección, representación legal de los trabajadores en los términos legales).
  • Formación del personal de RRHH: quienes redactan cartas de despido o gestionan expedientes disciplinarios deben conocer los límites que impone la normativa de protección de datos.
  • Evaluaciones de impacto: cuando el tratamiento de datos laborales implique riesgos elevados —por ejemplo, cruces masivos de información retributiva—, conviene realizar una evaluación de impacto en protección de datos (EIPD) conforme al artículo 35 del RGPD.
  • Delegado de Protección de Datos: las empresas obligadas a designar un DPD deben asegurarse de que este interviene en la revisión de los procedimientos disciplinarios que impliquen tratamiento de datos de terceros.

¿Y si soy el trabajador afectado?

Si una empresa ha utilizado datos personales tuyos —salariales o de cualquier otro tipo— en un contexto para el que no prestaste consentimiento y que no resulta estrictamente necesario, dispones de varias vías de actuación:

  1. Reclamación interna: ejercer los derechos de acceso, rectificación, supresión y oposición directamente ante la empresa, que está obligada a responder en el plazo de un mes.
  2. Reclamación ante la AEPD: si la empresa no atiende la solicitud o la respuesta es insatisfactoria, cabe presentar una reclamación ante la Agencia Española de Protección de Datos.
  3. Demanda de tutela de derechos fundamentales: como hizo la trabajadora en este caso, es posible acudir a la jurisdicción social (si el contexto es laboral) solicitando la declaración de vulneración del derecho fundamental a la protección de datos y una indemnización por los daños causados.

El plazo para ejercitar la acción de tutela de derechos fundamentales en el orden social es de un año desde que se tuvo conocimiento de la vulneración, conforme al artículo 179.2 de la Ley Reguladora de la Jurisdicción Social.

Conclusión

La sentencia del TSJ de Canarias confirma algo que la normativa ya decía pero que muchas empresas siguen pasando por alto: el poder de dirección del empleador no autoriza a tratar datos personales de un trabajador más allá de lo estrictamente necesario. Cuando existe una alternativa menos invasiva —como la anonimización—, utilizarla no es una opción, es una obligación legal.

Tanto si eres responsable de una empresa que necesita revisar sus protocolos de protección de datos en el ámbito laboral, como si eres un trabajador cuyos datos han sido utilizados indebidamente, un asesoramiento jurídico especializado puede marcar la diferencia entre actuar a tiempo o asumir consecuencias evitables. Para cualquier consulta relacionada, puedes ponerte en contacto a través de la página de contacto.

José Manuel Domínguez González

José Manuel Domínguez González

Abogado · Colegiado ICAM nº 137.813

Abogado en Allende Abogados (Madrid). Especializado en derecho concursal, mercantil, bancario y herencias. Formado en Andersen, Mercalex y Aeroiuris.

LinkedIn

¿Necesitas asesoramiento?

Puedo estudiar tu caso en detalle. La primera valoración es sin compromiso.

Consultar mi caso

Artículos relacionados