Denuncia interna por acoso laboral: cómo investigarla sin vulnerar la confidencialidad ni el RGPD
Como especialista en cumplimiento normativo, pocas situaciones me parecen tan complejas y delicadas como la gestión de una denuncia interna por acoso laboral. No estamos solo ante una posible crisis de recursos humanos o un conflicto de convivencia; estamos ante un escenario donde colisionan derechos fundamentales: el derecho a la integridad física y moral de la víctima, el derecho a la presunción de inocencia del denunciado y el derecho a la protección de datos personales de todos los intervinientes.
El error que cometen muchas empresas es lanzarse a investigar sin un protocolo blindado. Una investigación mal ejecutada puede invalidar un despido disciplinario posterior o, peor aún, acabar con una sanción de la AEPD por revelación de secretos o tratamiento ilícito de datos sensibles. En este artículo, voy a explicarte cómo liderar este proceso con mano izquierda y rigor jurídico.
La base jurídica del tratamiento: ¿Por qué podemos tratar estos datos?
Lo primero que debemos tener claro es que los datos relacionados con el acoso laboral son, a menudo, datos de categorías especiales (si incluyen salud, orientación sexual o ideología). Para tratar estos datos en una investigación interna, no necesitamos el consentimiento del denunciado (lo que sería imposible).
La base jurídica reside en el cumplimiento de obligaciones legales y el ejercicio de derechos específicos del responsable (la empresa) en el ámbito del Derecho del trabajo. La empresa tiene el deber de protección de sus trabajadores, lo que la obliga a investigar cualquier indicio de acoso. Además, la Ley 2/2023 sobre la protección del informante refuerza la obligación de tener sistemas internos de información para canalizar estas denuncias.
El deber de confidencialidad: El blindaje absoluto
El mayor riesgo en una investigación de acoso es la «fuga» de información. El deber de confidencialidad no es solo una recomendación ética; es una obligación legal reforzada por la AEPD y el INSST.
- Acceso restringido: Solo las personas estrictamente necesarias para la investigación (Comisión de Instrucción o Responsable del Sistema) deben tener acceso a los expedientes.
- Identidad de la víctima: La identidad de la persona denunciante y de la víctima debe protegerse en todo momento. En las actas de entrevistas con testigos, se debe evitar mencionar nombres si no es estrictamente necesario para la prueba.
- Seguridad física y digital: Los archivos de la investigación no deben estar en el servidor general de RR.HH. Deben estar cifrados o en armarios con llave de acceso restringido.
El derecho de información del denunciado
Aquí surge el conflicto más habitual: ¿Cuándo debemos informar al denunciado de que hay una investigación contra él?
Según el RGPD, tenemos la obligación de informar al interesado sobre el tratamiento de sus datos. Sin embargo, en el ámbito de una denuncia por acoso, el artículo 24 de la LOPDGDD y la Ley 2/2023 permiten retrasar esta información si existe un riesgo de que se destruyan pruebas o se coaccione a los testigos. No obstante, una vez que la investigación preliminar confirma que hay indicios, se debe informar al denunciado para que pueda ejercer su derecho de defensa, garantizando siempre que no conozca la identidad del denunciante si el canal permite el anonimato o si hay riesgo de represalias.
Fases del protocolo de investigación bajo el prisma del RGPD
Para que la investigación sea válida, sugiero seguir este orden riguroso:
1. Recepción y valoración inicial
Al recibir la denuncia a través del canal interno, se debe asignar un código al expediente para evitar el uso de nombres en las comunicaciones informales. Se debe verificar si los datos aportados son proporcionales a la finalidad de la denuncia (principio de minimización).
2. Medidas cautelares
Si el riesgo es inminente, se pueden tomar medidas como el cambio de turno o teletrabajo. El tratamiento de datos derivado de estas medidas también debe documentarse bajo la base del deber de protección laboral.
3. Fase de instrucción: Entrevistas y pruebas
Cada entrevista debe generar un acta. Al inicio de la misma, se debe entregar al testigo o al implicado una cláusula informativa sobre protección de datos específica para ese procedimiento. No vale la cláusula general del contrato de trabajo.
4. Informe final y resolución
El informe debe ser objetivo y basarse en hechos probados. Una vez finalizado el proceso y tomada la decisión (sanción, despido o archivo), los datos deben ser bloqueados. No pueden permanecer en el expediente del trabajador «para siempre». Los plazos de conservación deben ajustarse a la prescripción de las acciones legales.
La minimización de datos: No preguntes lo que no necesites
Un fallo recurrente en las investigaciones de acoso es indagar en la vida privada de los trabajadores. El INSST advierte que el procedimiento debe centrarse en los comportamientos en el entorno laboral. Si recogemos datos sobre la vida sentimental o hábitos fuera del trabajo que no tienen relación directa con el acoso, estamos vulnerando el principio de minimización del RGPD y podríamos ser sancionados.
El papel del Delegado de Protección de Datos (DPD)
Si tu empresa cuenta con un DPD, su asesoramiento es obligatorio en este proceso. El DPD no investiga el acoso, pero supervisa que el protocolo de investigación respete la privacidad. Su visión ayuda a prevenir que un defecto de forma en el tratamiento de los datos eche por tierra una sanción justificada.
Conclusión: Proteger a las personas, blindar la empresa
Investigar el acoso laboral es un acto de responsabilidad empresarial. Si lo haces siguiendo el protocolo del INSST y las guías de la AEPD, no solo estarás erradicando conductas tóxicas, sino que estarás protegiendo a la empresa frente a reclamaciones por daños morales o multas de protección de datos. La transparencia en el procedimiento y la opacidad en la difusión de los datos son las dos caras de una misma moneda ganadora.
