STS (Sala 1ª) de 13 de marzo de 2025, rec. nº 4109/2024.
Accede al documento
“3. Decisión de la sala
El recurso se estima por lo que exponemos a continuación.
3.1. De acuerdo con el apartado 3 art. 236 quinquies de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial(LOPJ):
«Los datos personales que las partes conocen a través del proceso deberán ser tratados por éstas de conformidad con la normativa general de protección de datos. Esta obligación también incumbe a los profesionales que representan y asisten a las partes, así como a cualquier otro que intervenga en el procedimiento.».
Este artículo establece una obligación explícita para que todos los actores involucrados en el procedimiento (las partes, los abogados y cualquier otra persona interviniente) garanticen que el tratamiento de los datos personales se realice conforme a la legislación de protección de datos, tanto en el ámbito de la LOPJ como de la LOPDPyGDD y el Reglamento.
En este sentido, tanto Vialegis Abogados, S.L.P., demandada en el proceso laboral, como su abogada, la Sra. Adelina, así como cualquier otra persona que intervenga en el procedimiento, deben cumplir con las obligaciones relacionadas con el tratamiento de los datos de la demandante, la Sra. Marí Jose. Por ello, deben respetar lo establecido en el art. 5 del Reglamento, cuyo apartado 1 recoge, entre otros principios clave, los de minimización, confidencialidad y seguridad. Además, su apartado 2 establece que:
«El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (‘responsabilidad proactiva’).» (…).
3.2. La Audiencia Provincial admite que el archivo que contenía la demanda laboral estuvo temporalmente disponible para cualquier persona que ingresara en la carpeta donde se guardaba, incluso de forma indebida, y que la Sra. Natividad lo abrió, a pesar de que su función no se lo permitía y no estaba autorizada. También reconoce que esto fue posible porque la carpeta no estaba protegida ni restringida, ya que constituía un recurso compartido al que podían acceder no solo los miembros de Vialegis Abogados, sino también los de VialegisFiscal, que forman parte del mismo grupo, aunque sean entidades distintas e independientes. Además, señala que esto es «[a]lgo que quizás en sí mismo, en términos de seguridad informática, constituye una brecha de seguridad de la empresa o grupo que comparte».
Sin embargo, considera que este hecho no puede atribuirse a una acción u omisión de la demandada como entidad, ya que: (i) no se había previsto la posibilidad de que un empleado no autorizado accediera a la documentación; (ii) en cualquier caso, si hubo una intromisión, esta fue causada por la Sra. Natividad y no por la demandada, no pudiendo obviarse que fue su propia curiosidad lo que la llevó a abrir el archivo al notar que el nombre coincidía con el de su amiga y compañera de la recepción común; (iii) se trataba de un documento de trabajo perteneciente a la abogada, que no era miembro directivo de Vialegis Abogados, con anotaciones personales, que no estaba destinado a terceros y que solo permaneció en la carpeta común el tiempo necesario para su importación a su ordenador, tras lo cual fue eliminado del docshare de inmediato; (iv) el hecho de que, en teoría, miembros o trabajadores tanto de Vialegis Abogados como de Vialegis Fiscal pudieran haber accedido al archivo no implica que estuvieran autorizados para hacerlo, y es precisamente este acceso no autorizado lo que dio lugar a una revelación meramente accidental, posteriormente utilizada como fundamento de la demanda.
3.3. La argumentación anterior no es correcta.
La entidad demandada tiene la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que implica el tratamiento de datos personales. Esto incluye, entre otras cosas, la adopción de medidas de seguridad informática adecuadas para proteger los datos frente a accesos no autorizados.
En este caso, la filtración de los datos de la demandante -al haber sido accesados por la Sra. Natividad sin autorización y sin que esta fuera empleada de la demandada-, junto con el hecho de que la demandada no haya probado la adopción de medidas técnicas y organizativas apropiadas para garantizar su seguridad y evitar un acceso no autorizado por parte de «terceros» -la carga de la prueba de que los datos personales se tratan de modo que se garantiza una seguridad adecuada, en el sentido de los artículos 5, apartado 1, letra f), y 32 del Reglamento, incumbe al responsable del tratamiento en cuestión, según la STJUE de 14 de diciembre de 2023, asunto C-340/21, VB y Natsionalna agentsia za prihodite, apartado 52-, pone de manifiesto que el tratamiento dado a los mismos por la demandada no fue adecuado ni conforme con el Reglamento.
En consecuencia, tampoco cumplió con la obligación que le incumbe con arreglo a lo dispuesto en el apartado 3 del artículo 236 quinquies de la LOPJ.
(…) 3.5. La Audiencia Provincial, para poner en duda la afectación del derecho a la intimidad de la demandante, sostiene que la demanda laboral carece de detalles suficientes para evaluar la gravedad de su situación en términos de salud, tanto física como emocional. Además, señala que no se aportaron de manera objetiva elementos relevantes, como informes médicos ante el Juzgado de lo Social, ni información que permitiera acreditar la existencia de un entorno de acoso vinculado a su horario laboral, que constituía el objeto central del procedimiento.
3.6. La argumentación anterior no es correcta.
En la demanda laboral que la recurrente interpuso contra Vialegis Abogados, S.L.P. por modificación de las condiciones de trabajo se incluyen datos personales de aquella que son de carácter privado e íntimo.
Entre los datos incluidos se menciona el sueldo que percibe mensualmente, que, en este caso, es un dato que forma parte de la esfera privada de la persona, ya que no es de acceso público y está relacionado directamente con su vida laboral y económica.
También se mencionan datos de salud relacionados con su incapacidad temporal debido a condiciones de salud como la hemiplejia y la ansiedad, los cuales son datos íntimos. En la sentencia del pleno 476/2018, de 20 de julio, citada por la 617/2023, de 25 de abril, la sala dijo en este sentido:
«1.- La información relativa a la salud física o psíquica de una persona está comprendida dentro del ámbito propio y reservado frente a la acción y el conocimiento de los demás que preserva el derecho a la intimidad del art. 18.1 de la Constitución, en la medida en que los datos que se refieren a la salud constituyen un elemento importante de su vida privada. No solo es una información íntima sino, además, especialmente sensible desde este punto de vista y, por tanto, es digna de especial protección desde la garantía del derecho a la intimidad. Así lo han declarado tanto el Tribunal Constitucional como el Tribunal Europeo de Derechos Humanos.
»2.- La información sobre la situación de baja laboral del demandante y las conjeturas sobre la enfermedad causante de la baja afectan, por tanto, a su derecho a la intimidad.».
Además, se incluyen detalles sobre el acoso laboral que la demandante afirma haber sufrido, lo cual constituye información altamente sensible que afecta a su esfera personal y emocional, perteneciendo a la categoría de datos íntimos.
3.7.La Audiencia Provincial considera que la demandada no ha incurrido en una intromisión ilegítima en el derecho a la intimidad personal de la demandante. Argumenta que el documento no fue introducido en el sitio compartido «L» con la intención de vulnerar su privacidad, revelar sus datos personales o atentar contra su intimidad. Asimismo, sostiene que, aunque el archivo estuvo temporalmente accesible para cualquier persona que ingresara en la carpeta compartida, incluso de forma indebida, no estaba destinado a terceros y fue eliminado de inmediato. También afirma que no se ha acreditado que su inclusión en dicho espacio tuviera como finalidad perjudicar a alguien, calificando lo sucedido como una revelación meramente accidental.
3.8.La argumentación anterior tampoco es correcta.
El razonamiento de la Audiencia Provincial se basa en una interpretación injustificadamente restrictiva del concepto de intromisión ilegítima en materia de intimidad, al supeditarlo a una doble condición: la intención de vulnerar la privacidad de una persona, revelar sus datos personales o atentar contra su intimidad, y, además, la intención de perjudicarla.
Sin embargo, la LOPDH no impone tales condiciones. En los apartados 3 y 4 de su art. 7 no exige que la divulgación, revelación o publicación de datos privados o de carácter íntimo sea intencional ni que busque causar un perjuicio. Basta con que su exposición se produzca para que, en principio, se considere una intromisión ilegítima. O dicho con otras palabras, la divulgación, la revelación o la publicación se considera intromisión ilegítima por el mero hecho objetivo de la exposición o puesta a disposición del público de tales datos, sin que sea necesario, además, el elemento subjetivo de la intencionalidad y el propósito de perjudicar.
Por lo tanto, la cuestión clave no es si la demandada pretendía divulgar la información o perjudicar a la demandante, sino si, como resultado de su conducta o comportamiento, ya sea activo u omisivo, los datos privados o íntimos de aquella quedaron expuestos a terceros sin causa de justificación.
En este caso, la falta de medidas de seguridad adecuadas permitió que un documento con datos personales de naturaleza privada e íntima de la demandante estuviera accesible en una carpeta compartida, a la que podían ingresar sin restricción personas ajenas a ella y carentes de autorización.
El hecho de que el documento no estuviera destinado a terceros no desvirtúa la realidad objetiva de que fue efectivamente accesible para ellos. La accesibilidad de una información no depende de la intención con la que se almacene, sino de su exposición en un entorno donde terceros pueden consultarla. Lo determinante es que la falta de medidas de seguridad permitió que la información privada e íntima de la demandante quedara disponible para personas no autorizadas, como ocurrió con la Sra. Natividad .
Asimismo, el hecho de que el archivo fuera eliminado de inmediato no evitó que fuera accesado. La intromisión ilegítima se consuma en el momento en que los datos privados e íntimos quedan expuestos sin causa que lo justifique, sin que sea necesario que la divulgación sea masiva ni prolongada en el tiempo. La eliminación posterior del documento no borra el hecho de que se produjo un acceso indebido ni revierte la afectación al derecho a la intimidad de la demandante.
Por otro lado, el argumento de la Audiencia Provincial sobre la accidentalidad de la revelación no excluye la existencia de una intromisión ilegítima. La protección del derecho a la intimidad no se limita a los casos en que la divulgación es voluntaria, sino que también comprende situaciones en las que la exposición indebida se produce por negligencia o falta de diligencia en la adopción de medidas de seguridad adecuadas. En este caso, la demandada tenía la obligación de garantizar la confidencialidad del documento, implementando medidas técnicas y organizativas para evitar el acceso por parte de personas no autorizadas.
La omisión de tales medidas constituye un incumplimiento que derivó en la exposición indebida de datos sensibles. Esta situación configura una vulneración del derecho a la intimidad, independientemente de que no haya existido una intención expresa de divulgar la información o de causar perjuicio a la demandante.
En consecuencia, procede estimar el recurso, casar la sentencia y asumir la instancia para determinar, teniendo en cuenta lo pretendido y las circunstancias del caso, las medidas que se deben adoptar para poner fin a la intromisión ilegítima”. (F.D. 2º). [Mario Neupavert Alzola]
