Aun cuando exista habilitación legal para tratar datos personales en investigaciones por acoso laboral, el empleador debe cumplir estrictamente con los principios de confidencialidad y seguridad.
El pasado 25 de febrero de 2025, la Agencia Española de Protección de Datos (AEPD) inició un procedimiento sancionatorio en contra de una empresa, luego de recibir dos reclamaciones por parte de trabajadores que indicaban que esta había revelado su identidad como denunciante y denunciado en un proceso de acoso laboral, divulgando sus nombres y apellidos.
En efecto, el origen de este conflicto se dio a raíz de una denuncia por acoso laboral que presentaron 5 trabajadores en contra de 10 denunciados, a propósito de la cual la empresa decidió abrir la respectiva investigación interna.
De este modo, el 31 de julio de 2024, dicho empleador envió un correo electrónico al “Comité de Empresa” informando que daba por finalizada la investigación, adjuntando la respectiva resolución a cada una de las 5 personas denunciantes y a los 10 denunciados, revelando –así– la identidad de cada uno de ellos, y exponiendo sus nombres, apellidos y puestos de trabajo.
Por esta razón, la parte reclamante sostenía que, en definitiva, todo el centro de trabajo sabía que era una de las denunciantes y, asimismo, que conocía a todos los denunciados, siendo que ella no había autorizado que se divulgara su identidad, lo que generó que uno de los denunciados publicara en un grupo de trabajo de WhatsApp (el mismo día del conocimiento de la resolución), un emoji con un beso junto con la frase: “Gracias por la denuncia”.
Por su parte, la empresa –al plantear su defensa–, sostuvo, fundamentalmente, que no era posible apreciar una infracción a la Ley de Datos Personales, ya que todos los interesados estaban al tanto de todas las identidades de los afectados desde el principio y, además, dado que la denuncia que dio origen al procedimiento interno de investigación por acoso había sido planteada ante el Comité de Empresa, sin invocarse el derecho al anonimato de los denunciantes, ni tampoco haber sido solicitado por ellos.
De esta forma, la AEPD centró el análisis no en la licitud de la investigación interna en sí misma, sino en la forma en que la empresa comunicó el cierre del procedimiento.
En particular, estimó que existían indicios suficientes de una vulneración del principio de integridad y confidencialidad, debido a que la empresa permitió que denunciantes y denunciados accedieran a la identidad de todos los intervinientes en el procedimiento, exponiendo información especialmente sensible en el contexto de una denuncia por acoso laboral.
Así, el problema jurídico del caso no radicó en la procedencia de tramitar la denuncia, sino en la falta de resguardo de la confidencialidad de quienes participaron en ella.
Sobre lo anterior, termina proponiendo –atendida la gravedad de la posible infracción y el nivel de negligencia del empleador–, la imposición de una multa administrativa, efectiva, proporcional y disuasoria ascendente a €200.000, además de la adopción de medidas correctivas, si proceden (en este caso, que la empresa adopte, en un plazo de 3 meses, las medidas adecuadas para garantizar la confidencialidad de los datos personales).
Finalmente, es del caso señalar que, ante la decisión de iniciar un procedimiento sancionatorio que, adoptado por la AEPD, la empresa optó por asumir su responsabilidad, ello con el propósito de reducir la cuantía de la multa impuesta, pagando –en definitiva– la suma de €120.000.
Así las cosas, este caso resulta especialmente interesante como referencia comparada desde la experiencia española, más aún considerando que, a partir del próximo 1 de diciembre de 2026, entrará en vigencia en nuestro país la Ley N° 21.719, que regula la protección y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales, autoridad que cumplirá un rol equivalente al que actualmente ejerce la AEPD en España.
En ese contexto, se trata de un caso plenamente extrapolable a Chile, particularmente en el marco de la Ley Karin, pues aun cuando exista una habilitación legal para tratar datos personales en el curso de investigaciones por acoso laboral, ello no releva al empleador del deber de cumplir estrictamente con los principios de confidencialidad y seguridad que rigen todo tratamiento de datos.
De ello se sigue que la sola existencia de una base normativa que permita investigar no basta por sí sola, sino que también resulta indispensable contar con políticas internas claras, canales de denuncia seguros, protocolos de acceso restringido y resguardos efectivos que eviten la exposición indebida de información especialmente sensible.
Para más información sobre estos temas pueden consultar a:
Jorge Arredondo | Socio | jarredondo@az.cl
Jocelyn Aros | Directora Grupo Laboral | jaros@az.cl
Yoab Bitran | Director Grupo Compliance | ybitran@az.cl
Felipe Neira | Asociado Senior Grupo Laboral | fneira@az.cl
Antonia Nudman | Asociada Senior az Tech | anudman@az.cl
Felipe Barrera | Asociado Grupo Compliance | fbarrera@az.cl
Palmira Valdivia | Asociada Grupo Laboral | pvaldivia@az.cl
Manuel Sepúlveda | Asociado Grupo Laboral | msepulveda@az.cl
Catalina Díaz | Asociada Grupo Laboral | cdiazp@az.cl
Felipe Barrera | Asociado Grupo Compliance | fbarrera@az.cl
Sé parte de nuestra plataforma multimedia y podrás recibir las últimas novedades legales, eventos, podcazt y webinars.
