Es habitual analizar la protección de datos personales desde la perspectiva de las organizaciones: políticas internas, medidas de seguridad, responsabilidad del responsable del tratamiento o supervisión del delegado de protección de datos.
Sin embargo, en el ámbito profesional, la cuestión adquiere una dimensión distinta. Cuando un trabajador accede, gestiona o transmite información sensible, la diligencia en el tratamiento de los datos deja de ser una cuestión meramente organizativa y pasa a integrarse en el contenido mismo de su prestación laboral.
La reciente Sentencia de la Sala de lo Social del Tribunal Superior de Justicia de Andalucía, de 20 de noviembre de 2025 (STSJ AND 18059/2025), ofrece una oportunidad especialmente relevante para reflexionar sobre esta cuestión.
En el caso analizado, un responsable de informática y seguridad de la información de un hospital fue despedido tras el envío de archivos sin cifrar que contenían datos de salud de pacientes, produciéndose remisiones cruzadas que permitieron el acceso a información de salud reproductiva de terceros.
El supuesto plantea un interrogante jurídico de gran interés: ¿puede un tratamiento negligente de datos personales constituir una transgresión de la buena fe contractual suficiente para justificar un despido disciplinario?
A partir de esta resolución, conviene analizar cómo interactúan el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y el Estatuto de los Trabajadores cuando el incumplimiento en materia de protección de datos no es organizativo, sino imputable individualmente a un trabajador.
El caso: envío sin cifrar de datos de salud y despido disciplinario
El supuesto enjuiciado por el Tribunal Superior de Justicia de Andalucía parte de unos hechos relevantes desde la perspectiva tanto laboral como de protección de datos.
El trabajador despedido prestaba servicios como Responsable del Área de Informática y Seguridad de la Información en un hospital, con funciones directamente vinculadas a la gestión técnica de la información y a la seguridad de los sistemas.
En el marco de un convenio suscrito por el centro hospitalario para la puesta en marcha de una unidad de reproducción, se le encomendó la gestión del envío por correo electrónico de comunicaciones personalizadas dirigidas a personas que tenían ovocitos, embriones o esperma depositados en el banco correspondiente.
Según los hechos probados, durante el proceso de remisión de estas comunicaciones:
- Se produjeron errores de envío.
- Algunos destinatarios recibieron información correspondiente a otros pacientes.
- El fichero PDF derivado del Excel generado no había sido encriptado, lo que permitía a los receptores acceder libremente a los datos contenidos en el archivo.
La propia sentencia describe el incumplimiento en los siguientes términos: “el fichero PDF derivado del Excel generado no había sido encriptado, con lo que los receptores de los envíos erróneos podían libremente comprobar la información remitida correspondiente a otro titular”.
Esta situación supone una comunicación indebida de datos de salud, que constituyen categorías especiales de datos conforme al artículo 9 del RGPD, y cuyo tratamiento exige un nivel reforzado de protección.
Como consecuencia de estos hechos, la empresa comunicó al trabajador su despido disciplinario, imputándole abuso de confianza, violación de secretos de obligada reserva y deficiente ejecución de los trabajos encomendados.
El Juzgado de lo Social competente declaró el despido procedente, y la resolución fue posteriormente confirmada por el Tribunal Superior de Justicia de Andalucía.
Hasta este punto, la cuestión podría interpretarse como un supuesto clásico de negligencia profesional. Sin embargo, el interés jurídico del caso reside en el fundamento utilizado por la Sala para justificar la procedencia del despido, que conecta directamente el tratamiento de datos personales en el ámbito laboral con el deber de diligencia y la buena fe contractual.
Es precisamente ese encaje normativo el que merece un análisis detenido.
El trabajador como “participante del tratamiento”
El elemento más interesante de la sentencia no es, únicamente, la gravedad de los hechos enjuiciados; es la construcción jurídica que realiza la Sala para fundamentar la procedencia del despido.
El tribunal no analiza el supuesto exclusivamente desde la óptica del incumplimiento laboral, sino que introduce de forma expresa el marco normativo de protección de datos. En particular, se refiere al artículo 32.4 del RGPD,que dispone: “El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.”
Sobre esta base, la Sala califica al trabajador como “participante del tratamiento”, es decir, como sujeto que entra en contacto con datos personales en el marco de su prestación de servicios y realiza una actividad material de tratamiento.
Pero la sentencia va más allá de una interpretación meramente formal del precepto. No se limita a afirmar que el trabajador debe seguir instrucciones, sino que integra el artículo 32.4 del RGPD en el estándar de diligencia profesional exigible en la relación laboral.
Conviene, no obstante, realizar una precisión técnica relevante. El artículo 32.4 del RGPD no configura al trabajador como sujeto autónomamente responsable en el sentido del Reglamento, sino que impone al responsable y al encargado del tratamiento la obligación de garantizar que quienes actúan bajo su autoridad solo traten los datos conforme a sus instrucciones.
La responsabilidad principal en materia de protección de datos continúa recayendo sobre la organización como responsable del tratamiento, sin perjuicio de las eventuales responsabilidades individuales que puedan derivarse en supuestos de actuación dolosa o claramente extralimitada. Sin embargo, ello no impide que, en el plano interno de la relación laboral, la conducta del trabajador pueda ser valorada a efectos disciplinarios cuando su actuación se aparte gravemente del estándar de diligencia exigible en atención a sus funciones.
En ese sentido, en el fundamento jurídico cuarto de la sentencia, la Sala sostiene que el trabajador: “tiene el deber de actuar (…) con un cuidado extremo de la integridad de los datos”. Y añade que el deber de protección de datos de los trabajadores lo componen las siguientes obligaciones: “velar por la seguridad de los datos a los que tienen acceso en virtud del contrato de trabajo; y mantener la confidencialidad de los datos personales que les son confiados”.
Este razonamiento resulta especialmente significativo por dos motivos:
En primer lugar, porque el tribunal no concibe al trabajador como un mero ejecutor pasivo de órdenes técnicas. Su condición de participante en el tratamiento implica un deber activo de diligencia y confidencialidad.
En segundo término, porque la naturaleza de los datos tratados —datos de salud, categorías especiales conforme al artículo 9 del RGPD— eleva el estándar de cuidado exigible. Por ello, la omisión del cifrado de los archivos no se considera una mera deficiencia técnica, sino una negligencia grave en el tratamiento de información especialmente sensible.
Además, la sentencia menciona expresamente el artículo 70.1 de la LOPDGDD, recordando que quienes intervienen en el tratamiento pueden incurrir en responsabilidad en caso de incumplimiento.
De este modo, el RGPD y la LOPDGDD no operan en la resolución como un marco externo y ajeno al Derecho laboral, sino como elementos que integran el contenido del deber profesional del trabajador.
En consecuencia, si el tratamiento diligente de los datos forma parte de la prestación laboral, su incumplimiento puede proyectarse directamente sobre el juicio de buena fe contractual.
Ese es precisamente el siguiente paso en el razonamiento del tribunal.
Buena fe contractual y diligencia digital
Una vez delimitado el papel del trabajador como “participante del tratamiento”, el Tribunal aborda la cuestión desde la óptica estrictamente laboral.
El artículo 54.2.d) del ET establece que el contrato de trabajo podrá extinguirse por decisión del empresario mediante despido disciplinario en caso de: “transgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo”.
La Sala considera que los hechos acreditados —envío de datos de salud sin cifrado y remisiones cruzadas que permitieron el acceso a terceros— constituyen una negligencia grave en el desempeño de las funciones encomendadas, conectando expresamente esta conducta con el deber de diligencia previsto en el artículo 5.a) ET.
En el fundamento jurídico cuarto, la sentencia afirma que los hechos imputados suponen: “una negligencia en el desempeño de las funciones encomendadas por la empresa (…) y por tanto una transgresión de la buena fe contractual”
Y añade que la ejecución “muy deficiente” de los trabajos encomendados, como participante del tratamiento de datos, produjo una publicidad indebida de información reservada, con consecuencias relevantes para la empresa y para los titulares de los datos
La pérdida de confianza empresarial no se construye aquí sobre una mera infracción formal, sino sobre la ruptura del estándar de comportamiento exigible en atención al puesto desempeñado. El trabajador no era un empleado ajeno al tratamiento de la información, sino el responsable del área de informática y seguridad de la información del hospital.
En este contexto, la Sala subraya que la buena fe contractual no es una cláusula genérica vacía, sino un principio que exige un comportamiento ajustado a parámetros de lealtad, probidad y diligencia debida, conforme a los artículos 7.1 y 1258 del Código Civil, a los que también se remite la resolución.
Desde esta perspectiva, la negligencia en el tratamiento de datos sensibles no se analiza únicamente como un fallo técnico, sino como una quiebra de la confianza que debe presidir la relación laboral.
Por lo tanto, cuando el tratamiento diligente de los datos forma parte del contenido funcional del puesto, su incumplimiento grave puede integrar una transgresión de la buena fe contractual y justificar el despido disciplinario.
Ahora bien, no todo incumplimiento en materia de protección de datos puede justificar automáticamente la máxima sanción disciplinaria. Conforme a la doctrina consolidada en materia de despido disciplinario, resulta imprescindible valorar la proporcionalidad de la medida, atendiendo a la gravedad de la conducta, el grado de negligencia, la naturaleza del puesto desempeñado, la existencia de protocolos internos y la eventual reiteración del comportamiento.
En el caso analizado, la Sala aprecia una negligencia cualificada por la naturaleza especialmente sensible de los datos tratados —datos de salud— y por la posición del trabajador, responsable del área de informática y seguridad de la información. Es esta combinación de factores la que permite apreciar una ruptura de la confianza empresarial suficiente para justificar la extinción contractual.
La sentencia, así, confirma la procedencia del despido.
Más allá del caso concreto: la protección de datos como estándar profesional exigible
La relevancia de la STSJ de Andalucía no se limita al ámbito sanitario ni al caso concreto enjuiciado. Por el contrario, ofrece una lectura más amplia: en determinados puestos de trabajo, la protección de datos forma parte del contenido funcional de la prestación laboral.
No se trata únicamente de cumplir instrucciones internas o protocolos técnicos. Cuando un trabajador tiene acceso habitual a datos personales —y especialmente a categorías especiales de datos conforme al artículo 9 del RGPD— el tratamiento diligente de esa información se integra en su deber profesional.
Desde esta perspectiva, la protección de datos no es solo una exigencia organizativa impuesta por el RGPD y desarrollada por la LOPDGDD. Es también un parámetro de valoración del desempeño profesional.
La sentencia deja claro que el trabajador no es una figura neutra en el ecosistema del tratamiento. Como “participante del tratamiento” su actuación incide directamente en la integridad, confidencialidad y disponibilidad de la información.
Este criterio resulta especialmente relevante en sectores como:
- El sanitario, donde el tratamiento de datos de salud exige un estándar reforzado de protección.
- El educativo, cuando se gestionan datos de menores.
- El financiero, en relación con información patrimonial o económica.
- El ámbito de recursos humanos, donde se tratan datos laborales y, en ocasiones, datos especialmente sensibles.
En todos estos entornos, la diligencia en el tratamiento de datos no puede reducirse a una cuestión meramente técnica. Forma parte del núcleo de confianza que sustenta la relación laboral.
La sentencia, además, evidencia algo que conviene no perder de vista: el incumplimiento en materia de protección de datos no solo puede generar responsabilidades administrativas para la organización, sino también consecuencias laborales individuales cuando la conducta reviste gravedad suficiente.
La seguridad de la información y la protección de datos no son compartimentos estancos en el ámbito laboral. En determinados supuestos, operan como estándares normativos que permiten valorar la existencia de una transgresión de la buena fe contractual.
Conclusión: la diligencia en protección de datos como parte del contenido del contrato de trabajo
La sentencia confirma una idea esencial: la protección de datos personales puede formar parte del contenido esencial de la prestación laboral cuando el puesto implica acceso y tratamiento de información sensible.
El RGPD y la LOPDGDD no se proyectan únicamente sobre la organización como sujeto abstracto. Inciden también en la conducta concreta de quienes intervienen materialmente en el tratamiento de la que la organización es responsable.
Cuando el trabajador es “participante del tratamiento”, su deber no se agota en seguir instrucciones puramente formales. Debe actuar con la diligencia exigible en atención a la naturaleza de los datos y a las funciones que desempeña.
Cabe destacar que la sentencia no sanciona un simple error técnico; sanciona una negligencia grave en el tratamiento de datos de salud que generó una ruptura de la confianza empresarial suficiente para suponer una transgresión de la buena fe contractual conforme al artículo 54.2.d) del ET.
Y es que, en determinados ámbitos profesionales, la protección de datos no es un elemento accesorio ni meramente procedimental; forma parte del estándar de conducta exigible al trabajador. De modo que, cuando ese estándar se incumple de forma grave, las consecuencias pueden proyectarse directamente sobre la continuidad de la relación laboral.
En definitiva, la diligencia en el ámbito digital no es solo una buena práctica organizativa; puede convertirse en una exigencia contractual cuyo incumplimiento determine la pérdida de confianza y la procedencia del despido disciplinario.
El deber de seguridad no es una exigencia meramente técnica, sino un estándar jurídico con implicaciones organizativas y profesionales. Si quieres profundizar en esta materia, puedes consultar otras entradas relacionadas en nuestro blog aquí.
