La reciente sentencia del Tribunal Superior de Justicia de Canarias que condena a Mercadona a indemnizar con 7.500 euros a una trabajadora por la utilización de sus datos personales en la carta de despido de su pareja constituye un pronunciamiento de especial relevancia en la intersección entre el Derecho laboral y la protección de datos personales. Nos encontramos ante un supuesto paradigmático en el que el ejercicio legítimo de la potestad disciplinaria empresarial entra en conflicto directo con un derecho fundamental: el derecho a la protección de datos reconocido en el artículo 18.4 de la Constitución y desarrollado por el RGPD.
Los hechos del caso son jurídicamente muy ilustrativos. La empresa, en el marco de un despido disciplinario, incorporó en la carta dirigida al trabajador datos identificativos y económicos de su pareja —también empleada— incluyendo nombre completo, relación personal, jornada laboral y un desglose detallado de su salario durante más de un año. La finalidad era justificar la existencia de percepciones indebidas por parte del trabajador despedido mediante una comparación retributiva. Sin embargo, dicha actuación se realizó sin el consentimiento de la trabajadora afectada y sin que existiera una base jurídica suficiente que legitimara ese tratamiento de datos personales .
Desde una perspectiva estrictamente jurídica, el elemento nuclear de la sentencia reside en la aplicación del juicio de proporcionalidad —y, en particular, del principio de minimización de datos— como criterio delimitador del tratamiento lícito en el ámbito laboral. El tribunal no cuestiona que la empresa actuara en ejercicio de un interés legítimo —ex artículo 6.1.f) RGPD— al documentar y motivar el despido. Lo que rechaza es que la concreta medida adoptada supere el test de necesidad: la inclusión de datos personales identificativos y salariales de un tercero no era imprescindible para alcanzar la finalidad perseguida. De hecho, la Sala subraya que el mismo resultado probatorio podría haberse obtenido mediante técnicas menos invasivas, como la anonimización o la referencia genérica a otro trabajador en situación comparable .
Este razonamiento enlaza con una línea jurisprudencial cada vez más consolidada que refuerza el carácter autónomo del derecho fundamental a la protección de datos frente a otros intereses empresariales legítimos. Resulta especialmente relevante que el tribunal descarte argumentos clásicos en la práctica laboral, como el hecho de que los datos pudieran ser conocidos en el entorno de trabajo o que existiera una relación personal entre las partes implicadas. La sentencia deja claro que el conocimiento fáctico de un dato no equivale a la legitimación jurídica para su tratamiento y comunicación, reforzando así la idea de control del titular sobre sus propios datos.
Desde el punto de vista práctico, la resolución tiene importantes implicaciones para la actuación de las empresas. En particular, obliga a extremar la cautela en la redacción de cartas de despido y en la tramitación de expedientes disciplinarios, evitando la inclusión de datos personales de terceros salvo que exista una base jurídica clara y que dicha inclusión supere un estricto juicio de necesidad. No basta con que el tratamiento sea útil o conveniente: debe ser imprescindible y proporcionado en sentido estricto.
En definitiva, esta sentencia constituye un aviso claro al tejido empresarial: la protección de datos no es un elemento accesorio, sino un límite estructural al ejercicio de las potestades organizativas y disciplinarias. La cultura del compliance en materia de privacidad exige no solo cumplir formalmente con el RGPD, sino interiorizar sus principios —especialmente el de minimización— en la práctica cotidiana de las relaciones laborales. Solo así se evitarán responsabilidades como la que, en este caso, ha dado lugar a una condena indemnizatoria por vulneración de un derecho fundamental.
