El presente trabajo analiza la protección de datos personales en la relación laboral desde una perspectiva material, centrada en los supuestos de mayor intensidad lesiva: los procesos de acoso laboral, el tratamiento de datos de salud y la consiguiente responsabilidad indemnizatoria derivada de su vulneración. A partir de una lectura integrada del Reglamento General de Protección de Datos y de la doctrina jurisprudencial reciente, se examina cómo la quiebra del deber de confidencialidad no constituye solo una infracción normativa, sino el punto de partida de un daño jurídicamente resarcible. El estudio pone de relieve que el dato personal, especialmente cuando es sensible, actúa como eje de conflicto entre el poder de control empresarial y los derechos fundamentales del trabajador, exigiendo una interpretación restrictiva, proporcional y garantista de su tratamiento, así como una cultura empresarial orientada a la prevención del riesgo jurídico.
I. Consideración preliminar
La protección de datos personales en el ámbito laboral no puede comprenderse como un mero conjunto de obligaciones formales impuestas al empleador, sino como una manifestación estructural de la dignidad de la persona trabajadora en el marco de una relación caracterizada, por definición, por la desigualdad de posiciones. En este contexto, el dato personal —y de forma singular el dato sensible— deja de ser un elemento neutro de gestión para convertirse en un punto de fricción jurídica donde confluyen el poder de dirección empresarial y los derechos fundamentales del trabajador, en conexión directa con el art. 18.4 CE y su proyección sobre la intimidad personal (art. 18.1 CE), tal y como ha señalado el Tribunal Constitucional (STC 292/2000).
La singularidad del tratamiento de datos en la relación laboral, basada en la innecesariedad del consentimiento cuando concurre una base legitimadora vinculada a la ejecución del contrato o al cumplimiento de obligaciones legales (art. 6.1.b y c del Reglamento (UE) 2016/679 y art. 6 de la Ley Orgánica 3/2018), no desplaza ni atenúa la exigencia de respeto a los principios de licitud, proporcionalidad, minimización y confidencialidad (art. 5 RGPD). Antes bien, intensifica el deber de diligencia del empleador, en tanto que custodio de una información que, por su naturaleza, incide directamente en la esfera más íntima de la persona.
Es precisamente en los supuestos de mayor vulnerabilidad —como los procesos de acoso laboral o el tratamiento de datos relativos a la salud— donde esta tensión alcanza su máxima expresión, proyectándose, en caso de quiebra, hacia el ámbito de la responsabilidad indemnizatoria (art. 82 RGPD).
II. La quiebra de la confidencialidad en los procesos de acoso laboral
El tratamiento de datos personales en los procedimientos de acoso laboral presenta una especial complejidad, en la medida en que el propio objeto del proceso implica la gestión de información particularmente sensible, tanto desde la perspectiva de la víctima como del presunto infractor.
En estos supuestos, la confidencialidad no es un mero principio rector, sino un presupuesto estructural del propio procedimiento. La revelación de la identidad de la persona denunciante, la difusión de los hechos investigados o el acceso indiscriminado a la documentación generada en el proceso constituyen, no solo una infracción de la normativa de protección de datos, sino una forma autónoma de victimización secundaria, en línea con el deber de integridad y confidencialidad del tratamiento (art. 5.1.f RGPD).
La jurisprudencia ha venido consolidando un criterio claro: la exposición injustificada de datos personales en este contexto comporta una intromisión ilegítima en los derechos fundamentales de la persona trabajadora, con independencia de la extensión de la difusión o de la intencionalidad del responsable. La lesión se consuma desde el momento en que la información queda accesible a terceros no legitimados, tal y como declara el Tribunal Supremo (STS, Sala Primera, 13-3-2025, rec. 4109/2024).
En el ámbito europeo, el Tribunal Europeo de Derechos Humanos ha insistido en la especial protección de los datos en contextos de acoso, destacando la obligación de preservar el anonimato de las personas implicadas, cuya omisión constituye una vulneración del derecho al respeto de la vida privada (art. 8 del Convenio Europeo de Derechos Humanos), como se desprende del asunto Vicente del Campo c. España.
Desde una perspectiva técnica, el riesgo jurídico no se agota en la eventual sanción administrativa (art. 83 RGPD), sino que se proyecta directamente sobre la validez del procedimiento interno y sobre la eventual responsabilidad civil derivada. La empresa no solo debe investigar el acoso, sino hacerlo garantizando un entorno de protección reforzada de los datos.
III. Datos de salud y límites al conocimiento empresarial
Si en los procesos de acoso la confidencialidad es un elemento esencial, en el ámbito de los datos de salud se configura como un límite infranqueable.
Los datos relativos a la salud pertenecen a una categoría especialmente protegida (art. 9.1 RGPD), cuyo tratamiento exige una base jurídica cualificada (art. 9.2 RGPD). En el ámbito laboral, esta excepción se justifica en la necesidad de garantizar la seguridad y salud en el trabajo o el cumplimiento de obligaciones en materia de seguridad social.
La evolución normativa reciente, en particular el Real Decreto 1060/2022, ha reforzado esta idea, limitando la información que llega al empleador a datos estrictamente administrativos.
Desde un punto de vista jurisprudencial, la revelación de datos médicos sin cobertura legal ha sido considerada una vulneración directa del derecho fundamental a la intimidad y a la protección de datos. Así lo declara el Tribunal Europeo de Derechos Humanos en M.D.A. c. Rumanía, y el Tribunal Constitucional (STC 11/1998).
La clave radica en la proporcionalidad: no todo dato útil es necesario, ni todo dato necesario puede ser tratado sin garantías reforzadas.
IV. De la infracción al daño: la construcción de la responsabilidad
La quiebra de la confidencialidad no constituye únicamente una infracción normativa, sino el punto de partida de una eventual responsabilidad indemnizatoria.
El régimen de responsabilidad derivado de la normativa de protección de datos se articula sobre tres elementos esenciales:
- existencia de una infracción
- producción de un daño material o inmaterial
- relación de causalidad
(art. 82 RGPD)
La doctrina del Tribunal de Justicia de la Unión Europea ha sido clara: la infracción por sí sola no genera automáticamente indemnización, pero tampoco se exige un umbral mínimo de gravedad. Basta con acreditar un perjuicio real.
V. Una lectura integrada: el dato como eje de conflicto
El dato personal, especialmente cuando es sensible, actúa como un catalizador del conflicto laboral cuando su tratamiento desborda los límites de la legalidad.
En los procesos de acoso, la falta de confidencialidad agrava la situación de la víctima. En los datos de salud, el exceso de información rompe el equilibrio entre control empresarial y esfera privada. Y en ambos casos aparece un espacio de responsabilidad jurídica que va más allá de la mera sanción administrativa.
VI. Conclusión
La protección de datos en la relación laboral se revela, en última instancia, como un instrumento de garantía de la dignidad del trabajador frente al poder organizativo del empleador (art. 18 CE).
Allí donde la confidencialidad se quiebra —ya sea en denuncias de acoso o en la gestión de datos de salud— emerge no solo la infracción, sino también el daño indemnizable.
La evolución jurisprudencial del Tribunal Supremo, el Tribunal de Justicia de la Unión Europea y el Tribunal Europeo de Derechos Humanos apunta hacia una concepción cada vez más exigente de las obligaciones empresariales.
El dato personal deja así de ser un elemento accesorio para convertirse en un eje central de responsabilidad jurídica.
