El TSJ de Canarias ratifica la sanción por acceso indebido a datos personales

La STSJ de Canarias, rec. 914/2025, de 1 de octubre 2025, ECLI:ES:TSJICAN:2025:3944, ha confirmado la sanción de 16 días de suspensión de empleo y sueldo impuesta a un trabajador de Mutua Universal por acceder de manera indebida a datos personales de un tercero en el sistema informático de la Seguridad Social (GISS). Este fallo ratifica la resolución previa del Juzgado de lo Social Nº 4 de Las Palmas de Gran Canaria, que desestimó la demanda del empleado en la que impugnaba la sanción.

Los hechos que desencadenaron la sanción

El caso se remonta al 28 de abril de 2023, cuando el trabajador, identificado como Adriano, accedió al sistema GISS utilizando sus claves personales para consultar datos del denunciante, un antiguo empleado de la Mutua Universal. Según la investigación interna llevada a cabo por la empresa, estos accesos no estaban justificados por motivos profesionales, lo que constituyó una violación del principio de confidencialidad establecido en el Reglamento General de Protección de Datos (RGPD).

La irregularidad fue detectada tras una denuncia presentada por el afectado ante la Tesorería General de la Seguridad Social (TGSS). En junio de 2024, la TGSS informó a Mutua Universal sobre los accesos indebidos, lo que dio inicio a una investigación interna. El informe emitido por la Comisión de Protección de Datos de la empresa concluyó que el trabajador había vulnerado el principio de confidencialidad y otros procedimientos internos, como la normativa sobre uso aceptable de sistemas de información y la política de protección de datos personales.

Argumentos del trabajador y resolución judicial

Adriano, quien ostenta el cargo de Representante Legal de los Trabajadores y es miembro del Comité de Empresa, alegó que los accesos se realizaron en el marco de sus funciones sindicales para verificar datos de afiliación. Sin embargo, la empresa consideró que esta justificación no era válida, ya que el denunciante no era afiliado al sindicato ni tenía relación laboral o contractual con la Mutua Universal en el momento de los hechos.

En primera instancia, el Juzgado de lo Social Nº 4 desestimó la demanda del trabajador, argumentando que los hechos estaban correctamente tipificados como falta muy grave según el convenio colectivo aplicable. Adriano recurrió esta decisión ante el Tribunal Superior de Justicia de Canarias, alegando, entre otros motivos, que la falta disciplinaria había prescrito, dado que los hechos ocurrieron más de un año antes de la imposición de la sanción.

El fallo del Tribunal Superior de Justicia de Canarias

La Sala de lo Social del Tribunal Superior de Justicia de Canarias rechazó los argumentos del trabajador y confirmó la sentencia de instancia. En su resolución, el tribunal destacó que el plazo de prescripción de las faltas muy graves, establecido en el artículo 60.2 del Estatuto de los Trabajadores, comienza a computarse desde el momento en que la empresa tiene conocimiento cabal de los hechos. En este caso, la empresa no tuvo conocimiento pleno de la irregularidad hasta que la TGSS lo notificó en junio de 2024, y la investigación interna concluyó en julio de ese mismo año.

El tribunal también subrayó que el acceso indebido a datos personales constituye una infracción grave que puede acarrear sanciones económicas significativas, tanto para el trabajador como para la empresa. Además, señaló que la actuación del empleado vulneró principios fundamentales del código de conducta de Mutua Universal, como la confidencialidad y la lealtad institucional.

Este caso pone de manifiesto la necesidad de que las empresas implementen medidas estrictas para garantizar el cumplimiento de las normativas de protección de datos y la confidencialidad de la información. Asimismo, destaca la relevancia de que los trabajadores conozcan y respeten las políticas internas y los principios éticos que rigen sus funciones.

En conclusión, el fallo del Tribunal Superior de Justicia de Canarias refuerza la postura de que las infracciones relacionadas con el acceso indebido a datos personales deben ser tratadas con la máxima rigurosidad, tanto para proteger los derechos de los afectados como para preservar la integridad y reputación de las organizaciones.