Por Luis Ferrer Abogado – www.luisferrer.abogado
Introducción
El respeto a la normativa de protección de datos no solo es exigible en la relación con clientes y terceros, sino también dentro de los propios equipos de trabajo. Así lo ha recordado recientemente la Agencia Española de Protección de Datos (AEPD), al imponer una sanción a un despacho de abogados por vulnerar el Reglamento General de Protección de Datos (RGPD) al compartir sin consentimiento información personal de un miembro del equipo con el resto de empleados.
Este caso demuestra que las obligaciones en materia de confidencialidad y privacidad afectan también a la gestión interna de los despachos profesionales, especialmente en entornos sensibles como el jurídico.
Los Hechos
El despacho sancionado comunicó de forma interna, mediante correo colectivo dirigido a toda la plantilla, datos personales de una trabajadora relacionados con una situación médica, alegando razones organizativas. La afectada, al tener conocimiento del contenido de dicha comunicación, interpuso una reclamación ante la AEPD al considerar que se había difundido información sensible sin su consentimiento expreso.
La investigación de la AEPD acreditó que se habían vulnerado principios esenciales del RGPD, como el de minimización y confidencialidad, al divulgar datos especialmente protegidos sin base legal ni justificación proporcional.
Fundamento Jurídico
La resolución de la AEPD recordó que el artículo 5.1 c) del RGPD exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Asimismo, el artículo 5.1 f) impone el deber de garantizar una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito.
En este contexto, la AEPD determinó que el envío masivo de datos sensibles sin contar con consentimiento ni existir causa legal habilitante supuso una infracción del artículo 6 del RGPD, sobre la licitud del tratamiento, y del artículo 32, sobre medidas de seguridad.
Sanción y Consecuencias
El despacho fue sancionado con una multa económica (ajustada en función del tamaño de la entidad) y se le ordenó adoptar medidas internas para garantizar la privacidad de sus trabajadores. La resolución también advierte del deber de formación específica en protección de datos para todo el personal que maneje información personal, especialmente en entornos como los despachos jurídicos, donde se tratan a diario datos de carácter sensible.
Además, se recuerda que los responsables del tratamiento —en este caso, la dirección del despacho— deben implementar políticas internas claras para evitar este tipo de exposiciones indebidas.
Conclusión
La protección de datos no se limita al ámbito externo de la empresa, sino que debe observarse estrictamente en la gestión interna del equipo humano. Desde Luis Ferrer Abogado, advertimos a los profesionales jurídicos de la importancia de cumplir con las exigencias del RGPD también en las relaciones laborales, y recomendamos establecer protocolos claros y medidas de formación para evitar sanciones que afectan tanto a la reputación como al bolsillo.
📍 Para más información y asesoramiento en protección de datos, visita www.luisferrer.abogado.