Agencia Estatal Boletín Oficial del Estado
I. Introducción
La STS, Civil, de Pleno, 383/2025, de 13 de marzo 2025 enjuicia en sede casacional una situación fáctica que perfectamente podía haber sido examinada por los Tribunales laborales. Se condena un despacho de abogados por vulnerar el derecho a la intimidad de una trabajadora –recepcionista de ese despacho- cuyos datos (salario, salud y situación de supuesto acoso), contenidos en una demanda laboral de modificación de condiciones de trabajo frente a su empleadora (que era dicho despacho), estuvieron accesibles en una carpeta digital compartida.
El enfoque jurisdiccional de la cuestión es interesante, y mucho más, el entramado jurídico argumental empleado en la sentencia del Alto Tribunal para resolverlo.
Ni el Juzgado de Primera Instancia ni después la sección civil de la Audiencia Provincial dieron la razón a la demandante.
Aunque se trata del ejercicio de una acción civil con fundamento en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, la normativa sobre protección de datos se ve fuertemente implicada. Si algunas circunstancias del caso (acceso del archivo muy limitado en el tiempo; ausencia de intencionalidad de divulgar ni perjudicar, así como accidentabilidad en el acceso – fue una compañera de trabajo que le advirtió a la actora los hechos-), podían conducir a una situación de inexistencia de lesión de la privacidad, la lesión a la intimidad se declara porque existió exposición indebida de datos sensibles de la demandante consecuencia de la omisión por el despacho de medidas técnicas y organizativas adecuadas para evitar el acceso al documento por parte de personas no autorizadas.
II. Identificación de la resolución judicial comentada
Tipo de resolución judicial: sentencia.
Órgano judicial: Tribunal Supremo (Sala Civil). Pleno.
Número de resolución judicial y fecha: sentencia núm. 383/2025, de 13 de marzo.
Tipo y número recurso o procedimiento: recurso de casación núm. 4109/2024.
ECLI: ES:TS:2025:1054.
Fuente: CENDOJ.
Ponente: Excmo. Sr. D. Antonio García Martínez.
Votos Particulares: carece.
III. Problema suscitado. Hechos y antecedentes
1. Contexto litigioso
En el contexto de un juicio declarativo ordinario en el orden jurisdiccional civil, la controversia planteada versa sobre si se ha producido una vulneración por intromisión ilegítima en el derecho a la intimidad personal de una trabajadora (demandante en el proceso), recepcionista en un despacho de abogados en el que trabajaba porque una compañera de trabajo (también recepcionista) y amiga de la demandante, había tenido acceso de manera accidental a la demanda laboral que había interpuesto frente a su empleadora (despacho jurídico, parte demandada en el proceso).
La demanda laboral estuvo alojada en una carpeta digital compartida y accesible. Ahora bien, permaneció en la carpeta común unos minutos, el tiempo necesario para que fuera escaneado e importado por una abogada del despacho a su ordenador personal.
La demanda laboral contenía datos privados e íntimos sobre salud.
2. Vicisitudes procesales
En la demanda civil presentada por la trabajadora contra el despacho jurídico se solicitaba:
La sentencia de instancia – Juzgado de Primera Instancia núm. 53 de Barcelona- desestimó la demanda.
Recurrida en apelación, la sentencia de la Audiencia Provincial de Barcelona confirmó la sentencia recurrida.
El Pleno del TS, al estimar el recurso de casación, acogerá, en parte, la demanda, y declarará que se produjo intromisión ilegítima.
IV. Posición de las partes
1. Posición de la trabajadora, demandante en instancia y recurrente en apelación y casación
Después de haber visto desestimada en instancia su demanda, y rechazado el recurso de apelación, la trabajadora f fundamenta su recurso de casación en la infracción de los apartados 3 y 4 del artículo 7 de la Ley Orgánica de Protección del Derecho al Honor (LOPDH). Argumenta que la demanda laboral alojada en la carpeta digital común contenía información altamente sensible y privada, relacionada con un posible acoso laboral y diversas patologías médicas. Sostiene que la difusión de estos datos contenidos en la demanda laboral invadía su intimidad y acusa a la empresa demandada una falta de diligencia al no tener establecido un sistema de protección de esta información. Considera que la intromisión en la intimidad de la demandante fue objetiva, independientemente de la intencionalidad. Y que es la empresa sobre la que recae la carga probatoria de demostrar el momento exacto en que se eliminó el documento litigioso.
2. Posición de la empresa (despacho jurídico), parte demandada en instancia, recurrida en apelación y en casación
La parte demandada se opone a la pretensión deducida en demanda y reproducida en los recursos, alegando que no hubo acoso laboral ni acción de difusión. Afirma que el documento en cuestión solo estuvo accesible durante unos momentos y que la única responsable de su acceso fue una empleada que actuó sin autorización. Sostiene que no hubo intencionalidad y que la empresa no es responsable de la difusión del documento.
3. El Ministerio Fiscal
El Fiscal también se opone al recurso y pide su desestimación. Sostiene que este se centra en la posible intromisión en la intimidad de la demandante, pero no debe confundirse con la vulneración de la normativa sobre protección de datos. Afirma que no procede revisar la fijación de los hechos ni revalorar la prueba y que el recurso desvirtúa la cuestión al ignorar que una demanda, al presentarse en un proceso laboral, no es un documento personal e íntimo. Argumenta que la demanda laboral no es un documento personal e íntimo al haberse presentado en un proceso laboral y que los datos contenidos en ella eran en gran parte conocidos por los compañeros de la demandante debido a sus bajas laborales. Sostiene que el acceso al documento fue accidental y aislado (“solo lo vio una amiga de la demandante, cuya actuación la sentencia califica de fisgona y no autorizada”), sin entidad suficiente para considerar que existió difusión.
V. Normativa aplicable al caso
Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Art. 7 Tendrán la consideración de intromisiones ilegítimas en el ámbito de protección delimitado por el artículo segundo de esta Ley: […]
3. La divulgación de hechos relativos a la vida privada de una persona o familia que afecten a su reputación y buen nombre, así como la revelación o publicación del contenido de cartas, memorias u otros escritos personales de carácter íntimo.
4. La revelación de datos privados de una persona o familia conocidos a través de la actividad profesional u oficial de quien los revela.
Art. 9. Dos. La tutela judicial comprenderá la adopción de todas las medidas necesarias para poner fin a la intromisión ilegítima de que se trate y, en particular, las necesarias […]”
Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.
Art. 236 quinquies
3. Los datos personales que las partes conocen a través del proceso deberán ser tratados por éstas de conformidad con la normativa general de protección de datos. Esta obligación también incumbe a los profesionales que representan y asisten a las partes, así como a cualquier otro que intervenga en el procedimiento.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Artículo 5. Principios relativos al tratamiento. 2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).
Artículo 24. Responsabilidad del responsable del tratamiento.[…]
Artículo 32. Seguridad del tratamiento.
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:[…]
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; […]
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. […]
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
VI. Doctrina básica
(a) Si la demanda laboral alojada, temporalmente, en la carpeta digital contenía datos personales sobre salud de la trabajadora y retribuciones percibidas, y sobre una supuesta situación de acoso laboral. Tales datos son datos privados e íntimos.
(b) Basta con que la brecha digital que ha permitido el acceso se haya producido por falta de mecanismos de protección.
(a) Porque la exposición de datos fuera temporal, al eliminarse el archivo en breve lapso.
(b) Tampoco porque el acceso fuera accidental. Basta con que el acceso se produjo por persona no autorizada.
(c) Ni tampoco neutraliza la existencia de intromisión ilegítima que no existiera una intención expresa de divulgar la información o de causar perjuicio a la demandante.
En conclusión: la accesibilidad de una información no depende de la intención con la que se almacene, sino de su exposición en un entorno donde terceros pueden consultarla. Lo determinante es que la falta de medidas de seguridad permitió que la información privada e íntima de la demandante quedara disponible para personas no autorizadas, aunque fuera accidental.
(a) Dichas circunstancias -alcance temporal de la divulgación limitado, ausencia de intencionalidad y ánimo de perjudicar- no enervadoras de la intromisión ilegítima, pueden , sin embargo, ser ponderadas.
(b) A ello se une la necesidad de que la demandante demuestre que la difusión de los datos, que según alega, le ha generado un estado de inquietud y preocupación, explique y aporte elementos que permitan concretar en qué medida dicho estado ha afectado de manera relevante su vida personal y profesional, lo que no aconteció en el caso.
(c) En el supuesto se considera que una indemnización de 3.000 euros satisface adecuadamente la necesidad de reparar el daño moral sufrido por la demandante, sin exceder los límites de la proporcionalidad que deben regir la cuantificación del resarcimiento en este tipo de casos.
VII. Parte dispositiva
1. Pronunciamientos principales
El TS (Civil) al estimar el recurso de casación interpuesto por la demandante (trabajadora) contra la sentencia dictada en apelación por la Sección n.º 11 de la Audiencia Provincial de Barcelona, con el n.º 175/2022, el 18 de noviembre de 2022, casa esta sentencia en el siguiente sentido de estimar en parte el recurso de apelación interpuesto por la demandante contra la sentencia contra la sentencia dictada por el Juzgado de Primera Instancia n.º 53 de Barcelona, y la revoca, acogiendo en parte la demanda deducida por contra un despacho de abogados en el que prestaba sus servicios, y
i) Declara que la demandada (el despacho de abogados) ha incurrido en intromisión ilegítima en el derecho a la intimidad de la demandante.
ii) Condena a la demandada a pagar a la demandante como indemnización por daño moral 3.000 euros.
iii) Condena a la demandada a que, en lo sucesivo, se abstenga de realizar actos semejantes que constituyan una intromisión ilegítima en el derecho a la intimidad de la demandante.
2. Pronunciamientos accesorios
No impone las costas del recurso de casación, del recurso de apelación y de la primera instancia a ninguna de las partes, y ordena la devolución de los depósitos para recurrir.
VIII. Pasajes decisivos
Fundamento de Derecho Segundo
[…]
3.3 La entidad demandada tiene la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que implica el tratamiento de datos personales. Esto incluye, entre otras cosas, la adopción de medidas de seguridad informática adecuadas para proteger los datos frente a accesos no autorizados. […]En consecuencia, tampoco cumplió con la obligación que le incumbe con arreglo a lo dispuesto en el apartado 3 del artículo 236 quinquies de la LOPJ.
3.4 Ahora bien, en el proceso no se ejercita una acción basada en el derecho a la protección de datos al amparo del Reglamento y la LOPDPyGDD, sino una acción por intromisión ilegítima en el derecho a la intimidad al amparo de la LODH, lo que no es indiferente, ya que, como dijimos en la sentencia 398/2024, de 19 de marzo:
«Aunque el derecho a la protección o reserva de los datos y el derecho a la intimidad tienen evidentes caracteres comunes, no todo acceso a datos protegidos constituye por sí misma una violación del derecho a la intimidad.». […]
3.6 En la demanda laboral que la recurrente interpuso contra XXX Abogados, S.L.P. por modificación de las condiciones de trabajo se incluyen datos personales de aquella que son de carácter privado e íntimo.
Entre los datos incluidos se menciona el sueldo que percibe mensualmente, que, en este caso, es un dato que forma parte de la esfera privada de la persona, ya que no es de acceso público y está relacionado directamente con su vida laboral y económica.
También se mencionan datos de salud relacionados con su incapacidad temporal debido a condiciones de salud como la hemiplejia y la ansiedad, los cuales son datos íntimos. […]
Además, se incluyen detalles sobre el acoso laboral que la demandante afirma haber sufrido, lo cual constituye información altamente sensible que afecta a su esfera personal y emocional, perteneciendo a la categoría de datos íntimos.
Por tanto, atendiendo a la naturaleza de los datos, estaríamos, en principio, ante un caso en el que los mismos hechos podrían constituir una vulneración no solo del derecho a la protección de datos, sino también del derecho a la intimidad personal de la demandante
3.8 […] El razonamiento de la Audiencia Provincial se basa en una interpretación injustificadamente restrictiva del concepto de intromisión ilegítima en materia de intimidad, al supeditarlo a una doble condición: la intención de vulnerar la privacidad de una persona, revelar sus datos personales o atentar contra su intimidad, y, además, la intención de perjudicarla.
Sin embargo, la LOPDH no impone tales condiciones. En los apartados 3 y 4 de su art. 7 no exige que la divulgación, revelación o publicación de datos privados o de carácter íntimo sea intencional ni que busque causar un perjuicio. Basta con que su exposición se produzca para que, en principio, se considere una intromisión ilegítima. O dicho con otras palabras, la divulgación, la revelación o la publicación se considera intromisión ilegítima por el mero hecho objetivo de la exposición o puesta a disposición del público de tales datos, sin que sea necesario, además, el elemento subjetivo de la intencionalidad y el propósito de perjudicar.
Por lo tanto, la cuestión clave no es si la demandada pretendía divulgar la información o perjudicar a la demandante, sino si, como resultado de su conducta o comportamiento, ya sea activo u omisivo, los datos privados o íntimos de aquella quedaron expuestos a terceros sin causa de justificación.
En este caso, la falta de medidas de seguridad adecuadas permitió que un documento con datos personales de naturaleza privada e íntima de la demandante estuviera accesible en una carpeta compartida, a la que podían ingresar sin restricción personas ajenas a ella y carentes de autorización.
El hecho de que el documento no estuviera destinado a terceros no desvirtúa la realidad objetiva de que fue efectivamente accesible para ellos. […]
Asimismo, el hecho de que el archivo fuera eliminado de inmediato no evitó que fuera accesado. La intromisión ilegítima se consuma en el momento en que los datos privados e íntimos quedan expuestos sin causa que lo justifique, sin que sea necesario que la divulgación sea masiva ni prolongada en el tiempo.[…]
Por otro lado, el argumento de la Audiencia Provincial sobre la accidentalidad de la revelación no excluye la existencia de una intromisión ilegítima. La protección del derecho a la intimidad no se limita a los casos en que la divulgación es voluntaria, sino que también comprende situaciones en las que la exposición indebida se produce por negligencia o falta de diligencia en la adopción de medidas de seguridad adecuadas. En este caso, la demandada tenía la obligación de garantizar la confidencialidad del documento, implementando medidas técnicas y organizativas para evitar el acceso por parte de personas no autorizadas.
La omisión de tales medidas constituye un incumplimiento que derivó en la exposición indebida de datos sensibles. Esta situación configura una vulneración del derecho a la intimidad, independientemente de que no haya existido una intención expresa de divulgar la información o de causar perjuicio a la demandante. […]”
IX. Comentario
1. Acción civil sobre intromisión ilegítima del derecho a la intimidad en un contexto laboral y con fundamento en el incumplimiento de la normativa de protección de datos.
La cuestión planteada impacta de lleno en el art. 18 CE que, como es sabido, consagra una pluralidad de derechos cuya finalidad común es proteger la vida privada. La existencia de una esfera privada, en los que los demás (poderes públicos o particulares) no pueden entrar sin el consentimiento de la persona. La fundamentación jurídica de la sentencia de casación apuesta con rotundidad por la defensa la esfera privada y reservada, por un criterio amplio o material – seguido por el Tribunal Constitucional y el TEDH-, esto es, todo aquello que, según las pautas sociales imperantes, suele considerarse reservado o ajeno al legítimo interés de los demás. [1]
Aunque la acción versa sobre una pretendida vulneración del derecho fundamental a la intimidad que se imputa por parte de una trabajadora a su empresario y por tanto la conducta combatida tiene clara conexión con el trabajo nadie cuestiona la competencia el orden civil para conocer el asunto.
Una pista de que la Sala de lo Civil es consciente de ello puede atisbarse cuando señala que “en el proceso no se ejercita una acción basada en el derecho a la protección de datos al amparo del Reglamento y la LOPDPyGDD, sino una acción por intromisión ilegítima en el derecho a la intimidad al amparo de la LODH, lo que no es indiferente, ya que, como dijimos en la sentencia 398/2024, de 19 de marzo : «Aunque el derecho a la protección o reserva de los datos y el derecho a la intimidad tienen evidentes caracteres comunes, no todo acceso a datos protegidos constituye por sí misma una violación del derecho a la intimidad.».
Recordemos que como dijera la cardinal STC 292/2000, de 30 de noviembre, el derecho fundamental a la protección de datos «no reduce su protección a los datos íntimos, sino que su objeto es más amplio, refiriéndose a cualquier tipo de dato personal.» Con todo, unos datos que desvelen el salario de la trabajadora ya que quedarían amparados por el derecho a la protección de datos. Con mayor razón aquellos referidos a su situación de salud (bajas médicas) y alegada situación de acoso.
Sentado lo anterior, la sentencia de casación como hemos desgranado en los apartados anteriores a este breve comentario, muestra una arquitectura argumental para rebatir, uno por uno, las consideraciones que, inicialmente, para el Juzgado de Primera Instancia, y después para la sección civil de la Audiencia Provincial, resolviendo el recurso de apelación, les condujeron a entender que no existía una situación de vulneración del derecho a la intimidad.
Como puede verse la cimentación de la lesión a la intimidad tiene su base en la normativa de protección de datos (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). La existencia de intromisión ilegítima en la privacidad en este supuesto no queda enervada por ninguna de las siguientes circunstancias: a) porque la exposición de datos fuera temporal, al eliminarse el archivo en breve lapso; b) ni porque el acceso fuera accidental. Basta con que el acceso se produzca por persona no autorizada. Y c) tampoco neutraliza la existencia de intromisión ilegítima que no existiera una intención expresa de divulgar la información o de causar perjuicio a la demandante.
No se trata de especular sobre estrategias procesales. Pero la elección de la vía de la jurisdicción civil, tras la lectura de la sentencia casacional, muestra contornos más autónomos y sustantivos que, probablemente dotan de acierto a la vía de tutela emprendida, con los riesgos y costes que comporta. Evidentemente hay unaconexión con lo laboral pero la supuesta lesión de dilucidarse en el ámbito laboral quizá no pasaría de ser un complemento para reforzar una tutela en el orden jurisdiccional laboral por vulneración de derechos fundamentales ex art. 177 y ss. LRJS o, hipotéticamente, como indicio para fundamentar la situación de acoso denunciada en la demanda cuyos datos posteriormente se desvelaron.
Sea como fuere lo que está revelando el análisis de la cuestión, una vez más, es la unidad del ordenamiento jurídico, sobre todo, cuando de derechos fundamentales se trata.
2. Sobre el mecanismo indemnizatorio y la doctrina del TJUE
Capítulo aparte merece el mecanismo de reparación de la lesión del derecho fundamental. En el caso, la sentencia de casación civil acude previsiones del artículo 9.2 de la LOPDH concretadas en: a) el restablecimiento del perjudicado en el pleno disfrute de sus derechos, con la declaración de la intromisión sufrida, el cese inmediato de la misma y la reposición del estado anterior; b) en prevenir intromisiones inminentes o ulteriores, y c) en fijar una indemnización de los daños y perjuicios causados, entre otros. Y explícitamente, dicha Ley dispone que «La existencia de perjuicio se presumirá siempre que se acredite la intromisión ilegítima. La indemnización se extenderá al daño moral, que se valorará atendiendo a las circunstancias del caso y a la gravedad de la lesión efectivamente producida, para lo que se tendrá en cuenta, en su caso, la difusión o audiencia del medio a través del que se haya producido». Y, como hemos indicado, toma como como factores de ponderación los que para las sentencias de instancia de apelación eran neutralizadores de la agresión ilegítima y termina concluyendo que 3000 euros es cantidad proporcionada, ante la falta de explicación y demostración objetiva por parte de la demandante de mayor resultado dañoso.
La sentencia, insistimos, aunque no versa sobre incumplimiento de materia de protección datos, en materia de fijación de indemnizaciones se inscribe en la jurisprudencia del TJUE sobre este aspecto.
Ni existe un “derecho automático a ser indemnizado” como consecuencia de una infracción de la normativa de protección de datos. El concepto de daños y perjuicios indemnizables se rige por el derecho de la Unión y la cuantía de los daños se determinará conforme a cada derecho nacional.
En este sentido, es inevitable traer a colación la STJUE (Sala Tercera) de 20 de junio de 2024[2] en el que unos clientes de una asesoría fiscal, tras haber informado a la misma de un cambio de su dirección postal, que se registró en el sistema informático de tratamiento de datos, sin embargo, posteriormente aquella les envió sus cartas con contenidos tributarios a la antigua dirección. Al advertir quienes ocupaban ese antiguo domicilio el error de destinatarios tras abrir el sobre, que contenía documentos con información datos personales) lo hicieron llegar a allegados de sus destinatarios (demandantes en el litigio principal) que después advirtieron que la documentación no estaba completa. El TJUE declara que una infracción de este Reglamento no basta, por sí sola, para fundamentar un derecho a indemnización en virtud de dicha disposición. El interesado también debe acreditar la existencia de un perjuicio causado por esa infracción, si bien no es necesario que tal perjuicio alcance cierto grado de gravedad. Si bien para fundamentar un derecho a indemnización, basta el temor padecido por una persona a que, como consecuencia de una infracción de este Reglamento, sus datos personales hayan sido divulgados a terceros, sin que pueda demostrarse que tal ha sido efectivamente el caso, siempre que ese temor, junto con sus consecuencias negativas, resulte debidamente probado. Finalmente dispone que el artículo 82, apartado 1, del Reglamento 2016/679 debe interpretarse en el sentido de que, “para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, no procede, por una parte, aplicar mutatis mutandis los criterios para la fijación del importe de las multas administrativas previstos en el artículo 83 de este Reglamento ni, por otra parte, atribuir a ese derecho a indemnización una función disuasoria.” El derecho a ser indemnizado, contemplado en el artículo 82 del RGPD, tiene una función compensatoria, de modo que la indemnización pecuniaria debe compensar íntegramente los daños y perjuicios sufridos como consecuencia de la infracción. No parece que proceda imponer el pago de indemnizaciones de naturaleza punitiva en estos casos.
X. Apunte final
Al inicio, en el planteamiento de este comentario, advertimos que el enfoque jurisdiccional de la cuestión es interesante, pero mucho más, la arquitectura argumental diseñada en la sentencia del TS, Civil. Tres apuntes finales para cerrarlo:
(1º) Sobre la elección del tipo de acción. La acción ejercitada, si bien, es puramente civil, sobre vulneración de derecho a la intimidad (Ley Orgánica 1/1982, de 5 de mayo), aunque se produce en un contexto laboral, se cimenta, y finalmente, desata la consecuencia de responsabilidad por un incumplimiento de la normativa de protección de datos. Es así porque consta: a) una premisa mayor: falta de medidas de seguridad permitió que la información privada e íntima de la demandante quedara disponible para personas no autorizadas, aunque fuera accidental; b) una premisa menor: acceso accidental por tercero no autorizado. Y c) el Tribunal alcanza una conclusión: la accesibilidad de una información sensible (una demanda laboral que contiene datos sobre retribuciones, salud y situación de acoso) no depende de la intención con la que se almacene, sino de su exposición en un entorno donde terceros pueden consultarla, lo que genera un daño indemnizable y la necesidad de que la situación sea objeto de reparación.
(2º) El aviso a navegantes que puede percibirse, subliminalmente, en la sentencia del Pleno de la sala civil del TS cuyos destinatarios son esta clase de empresas (despachos) que manejan datos sensibles. Más allá de la cifra fijada como indemnización (3.000 euros) y la valoración que pueda merecer en términos cuantitativos, parece que el contexto (despacho profesional) e incumplimiento de la normativa sobre implantación de sistema de seguridad y protección de datos mueven a la sala a proyectar luces largas a escenarios futuros y emitir un mensaje de alerta para prevenir situaciones futuras. Cuando la sentencia aclara que cuando condena a que la empleadora (el despacho jurídico) se abstenga de vulnerar el derecho a la intimidad y a la propia imagen “no constituye una condena de futuro ni una censura previa y está encuadrada en la tutela de abstención y justificada para evitar nuevas intromisiones en la intimidad de los demandantes y para que estos no se vean sometidos a una cascada de procedimientos con los consiguientes desembolsos económicos (sentencias 1152/2024 , de 234 de septiembre, 547/2016, de 19 de septiembre, 810/2013, de 27 de diciembre)”.
(3º) Las dudas. Con esta misma situación, aunque la acción versa sobre tutela por vulneración de un derecho fundamental (art.18.1 CE) como es la intimidad, que se imputa a la empresa, y la conducta tiene conexión con el trabajo, las preguntas a modo de reflexión brotan por sí solas ¿se habría considerado competente el juzgado de lo social si se hubiese presentado ante él la demanda? ¿el resultado habría sido diferente de haber aplicado las previsiones sobre carga probatoria contenidas en la LRJS? ¿La indemnización hubiera sido superior? ¿A qué parámetros se debería, en su caso, haber atenido?[3] Las respuestas las dejo para el lector.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
