La convivencia entre el derecho laboral y la protección de datos genera algunos de los conflictos jurídicos más complejos del actual entorno empresarial. Uno de ellos aparece cuando una organización dispone de información sobre conductas ilícitas cometidas por un trabajador y pretende utilizarla para adoptar medidas disciplinarias.
La cuestión parece sencilla: si los hechos son ciertos, ¿puede la empresa actuar disciplinariamente? En principio sí.
Sin embargo, cuando la información utilizada consiste en datos relativos a condenas e infracciones penales, el análisis adquiere una dimensión adicional. Ya no se trata únicamente de determinar si existe una conducta sancionable desde la perspectiva laboral, sino también de verificar si la obtención y circulación de esos datos se ha producido conforme a las exigencias del Reglamento General de Protección de Datos (RGPD).
Precisamente en este punto se sitúa una reciente resolución dictada recientemente por la jurisdicción social: STSJ AND 4801/2026, analiza los límites de la circulación de datos relativos a condenas penales dentro de un grupo empresarial y ofrece una respuesta especialmente relevante para responsables de tratamiento y delegados de protección de datos.
La resolución aborda un supuesto en el que una trabajadora de Stradivarius fue despedida tras conocerse que había sido condenada penalmente por un intento de hurto cometido en un establecimiento de Zara. Ambas sociedades pertenecían al Grupo Inditex, pero constituían entidades jurídicas diferenciadas.
La singularidad del caso no radica tanto en la conducta de la trabajadora como en la forma en que la información llegó a conocimiento de la empresa que acordó el despido.
El resultado final es especialmente relevante desde la perspectiva de la protección de datos: el despido fue declarado procedente, pero simultáneamente se reconoció una indemnización de 5.000 euros por vulneración del derecho fundamental a la protección de datos personales.
I. Los hechos: una condena penal que circula dentro del grupo empresarial
Como ya hemos adelantado, los hechos tienen su origen en un intento de hurto cometido por una trabajadora de Stradivarius en un establecimiento de Zara. Cómo consecuencia de estos hechos se siguió el correspondiente procedimiento penal, que concluyó con una sentencia condenatoria.
Posteriormente, la empresa de seguridad encargada de la gestión del incidente remitió la resolución penal a Stradivarius, sociedad distinta de aquella en la que se habían producido los hechos. A partir de dicha información, la empresa inició un procedimiento disciplinario que culminó con el despido de la trabajadora.
La empleada impugnó la decisión empresarial alegando, entre otras cuestiones, que la comunicación de la sentencia penal había vulnerado su derecho fundamental a la protección de datos, al tratarse de información especialmente protegida por el artículo 10 del RGPD.
La controversia planteaba una doble cuestión jurídica;
Por un lado, determinar si la circulación interna de esa información dentro del grupo empresarial era lícita desde la perspectiva del RGPD.
Por otro, analizar si la eventual ilicitud de esa comunicación afectaba necesariamente a la validez del despido.
II. Los datos relativos a condenas penales y el régimen reforzado del artículo 10 RGPD
El RGPD establece un tratamiento particularmente restrictivo para los datos relativos a condenas e infracciones penales.
A diferencia de otras categorías de datos personales, el artículo 10 RGPD dispone que el tratamiento de esta información únicamente podrá realizarse bajo el control de una autoridad pública o cuando esté expresamente autorizado por el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.
La razón de esta protección reforzada resulta evidente, pues la información relativa a antecedentes, condenas o procedimientos penales posee una capacidad especialmente intensa para afectar a la reputación, la esfera profesional y la vida privada de las personas. Por ello, el legislador europeo ha querido limitar su circulación y utilización.
En el supuesto analizado, el tribunal concluye que la remisión de la sentencia penal a otra sociedad del grupo empresarial carecía de cobertura jurídica suficiente. La circunstancia de que Zara y Stradivarius pertenecieran al mismo grupo económico no eliminaba su condición de responsables del tratamiento diferenciados, pues desde la perspectiva de la protección de datos, cada sociedad mantiene personalidad jurídica propia y debe justificar autónomamente cualquier tratamiento que realice.
La sentencia recuerda así una cuestión frecuentemente olvidada en la práctica empresarial: el grupo societario no constituye una comunidad conjunta en lo que se refiere al tratamiento de datos de carácter personal.
III. Los límites de las políticas corporativas y los códigos éticos comunes
Uno de los aspectos más interesantes de la resolución es el análisis que realiza respecto de las políticas internas del grupo empresarial.
En numerosas organizaciones multinacionales resulta habitual la existencia de códigos éticos comunes, protocolos corporativos de cumplimiento normativo, políticas globales de recursos humanos o cláusulas generales incluidas en la documentación laboral.
Con frecuencia se asume que estos instrumentos permiten compartir información entre las distintas sociedades del grupo. Sin embargo, la sentencia rechaza esta interpretación;
La Sala considera que las referencias contenidas en la normativa interna corporativa no constituyen una habilitación suficiente para legitimar la circulación de datos relativos a condenas penales entre sociedades distintas.
La existencia de declaraciones generales de cumplimiento o de compromisos éticos compartidos no sustituye las exigencias específicas impuestas por el RGPD para el tratamiento de datos especialmente sensibles. La resolución constituye un recordatorio de que las estructuras de cumplimiento normativo deben trascender la dimensión documental para convertirse en mecanismos jurídicamente eficaces de gobernanza de datos.
IV. ¿Por qué el despido fue declarado procedente?
El tribunal concluyó que la cesión ilícita de datos no invalidaba el despido porque la empresa conocía los hechos por una fuente independiente y legítima: la propia trabajadora los había comunicado a su encargada. Aplicando la doctrina de la prueba ilícita de la Sentencia del Tribunal Constitucional 61/2021, la Sala señaló que una prueba obtenida vulnerando derechos fundamentales no provoca automáticamente la nulidad del despido si existen pruebas autónomas que justifican la decisión empresarial. Por tanto, el procedimiento disciplinario seguía siendo válido al basarse también en información obtenida por cauces legítimos.
V. La buena fe contractual en el contexto de los grupos empresariales
Otro de los elementos más relevantes de la resolución es la valoración laboral de la conducta.
La trabajadora sostenía que los hechos se habían producido en una empresa distinta de aquella con la que mantenía la relación laboral. Sin embargo, el tribunal considera que esta circunstancia no impide apreciar una transgresión de la buena fe contractual.
La sentencia entiende que la pertenencia de ambas sociedades al mismo grupo empresarial resulta jurídicamente relevante desde la perspectiva disciplinaria. La conducta desplegada por la trabajadora afectaba a intereses patrimoniales integrados en la misma estructura empresarial y contravenía los compromisos éticos asumidos dentro del grupo.
La Sala concluye que el intento de hurto constituye una vulneración grave de los deberes de lealtad y confianza inherentes a toda relación laboral, encajando en las causas de despido disciplinario previstas en el Artículo 54 del Estatuto de los Trabajadores.
Se produce así una aparente paradoja jurídica;
La pertenencia al mismo grupo empresarial resulta insuficiente para legitimar la circulación de datos penales, pero sí puede resultar relevante para valorar disciplinariamente la conducta del trabajador.
VI. Implicaciones prácticas para los grupos empresariales
La resolución posee una enorme trascendencia práctica para las organizaciones que operan mediante estructuras societarias complejas.
Durante años muchas compañías han desarrollado modelos corporativos de cumplimiento basados en políticas comunes, canales internos compartidos, sistemas centralizados de recursos humanos o códigos éticos aplicables a todo el grupo. La sentencia recuerda que la existencia de una unidad económica no elimina las obligaciones derivadas del principio de licitud del tratamiento, consagrado en el artículo 5.1.a) del Reglamento (UE) 2016/679 (RGPD).
Cada sociedad debe disponer de una base jurídica propia para acceder a datos personales tratados por otra entidad del grupo, de conformidad con el artículo 6 del RGPD. Esta exigencia adquiere una relevancia aún mayor cuando la información compartida se refiere a categorías especialmente protegidas o a datos relativos a condenas e infracciones penales.
En este último ámbito, el artículo 10 del RGPD establece que el tratamiento de datos relativos a condenas e infracciones penales solo puede llevarse a cabo bajo el control de la autoridad pública o cuando esté expresamente autorizado por el Derecho de la Unión o de los Estados miembros. En el ordenamiento español, esta materia se encuentra desarrollada por el artículo 10 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que restringe significativamente el acceso y tratamiento de este tipo de información.
Desde una perspectiva operativa, la resolución obliga a revisar los flujos internos de información existentes entre sociedades vinculadas y a verificar si cada intercambio dispone de una justificación jurídica específica, respetando además los principios de minimización de datos y limitación de la finalidad recogidos en el artículo 5.1.b) y c) del RGPD.
La pertenencia a un mismo grupo empresarial no puede convertirse en una habilitación genérica para la circulación de cualquier dato personal. Al contrario, la sentencia reafirma que cada comunicación de datos entre entidades del grupo constituye un tratamiento diferenciado que debe contar con una base legitimadora propia y ajustarse a las exigencias establecidas por la normativa de protección de datos.
VII. Protección de datos y derecho laboral: dos planos de análisis distintos
Probablemente la principal enseñanza que deja esta sentencia es la necesidad de diferenciar dos planos jurídicos que en ocasiones se confunden: el laboral y el de protección de datos;
La vulneración de la normativa de protección de datos no implica necesariamente la invalidez de una decisión laboral, del mismo modo que la procedencia de una sanción disciplinaria no legitima automáticamente los tratamientos de datos realizados durante el proceso. En este sentido, el Reglamento (UE) 2016/679 (RGPD), especialmente en sus artículos 5.1.a) (principio de licitud), 6 (bases jurídicas del tratamiento) y 10 (tratamiento de datos relativos a condenas e infracciones penales), establece un marco autónomo respecto del régimen sancionador laboral.
Cada ámbito normativo conserva, por tanto, su propia lógica y requisitos de validez. Por ello, una empresa puede actuar correctamente desde la perspectiva del Derecho Laboral —en particular conforme al artículo 54 del Estatuto de los Trabajadores, que regula el despido disciplinario por transgresión de la buena fe contractual— y, simultáneamente, infringir la normativa de protección de datos si no existe una base jurídica —en particular conforme al artículo 6 del RGPD— que ampare la comunicación o tratamiento de la información.
Exactamente eso es lo que sucede en el caso analizado. La conducta de la trabajadora justificaba el despido disciplinario conforme al artículo 54 del Estatuto de los Trabajadores. Sin embargo, la circulación de la sentencia penal entre sociedades distintas del grupo vulneró el régimen reforzado de protección previsto en el artículo 10 del RGPD y en el artículo 10 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), al tratarse de datos relativos a condenas penales sin la debida habilitación legal.
En consecuencia, la resolución pone de relieve la autonomía entre responsabilidad laboral y responsabilidad en materia de protección de datos, que pueden coexistir sin neutralizarse entre sí.
Conclusión
En conclusión, la Sentencia del TSJ de Andalucía refuerza un principio clave en materia de protección de datos dentro de grupos empresariales: la pertenencia a una misma estructura corporativa no implica libertad para compartir información personal entre sociedades. Bajo el RGPD, cada entidad mantiene su propia condición de responsable del tratamiento y debe justificar jurídicamente cualquier acceso o comunicación de datos.
La resolución también aclara que una posible ilicitud en la obtención de la prueba no invalida automáticamente las decisiones empresariales posteriores, siempre que existan fuentes independientes que las sustenten. Esto permite que un despido pueda ser declarado procedente incluso en un contexto en el que se ha producido una vulneración de derechos fundamentales.
El mensaje final es claro: pueden coexistir la validez de la decisión laboral y la infracción en materia de protección de datos, lo que puede dar lugar a la procedencia del despido junto con la correspondiente indemnización. La lección para las organizaciones es que las políticas corporativas y los sistemas de cumplimiento normativo no pueden sustituir las exigencias reales del RGPD: la unidad empresarial no elimina la separación jurídica ni las garantías de los trabajadores.
Si quieres conocer más información sobre derecho laboral y protección de datos puedes leer otras entradas de nuestro blog: aquí, aquí y aquí.
