Portal del cliente

Portal del empleado

Solicitar presupuesto: 911 312 527
Atención al cliente: 915 17 35 70
Contrata: 911 312 527
At. cliente: 915 17 35 70
Contacta
Blog

El riesgo del factor humano en el cumplimiento normativo

En el ámbito de la protección de datos y, en general, del cumplimiento normativo, solemos pensar en términos de medidas técnicas y organizativas, herramientas tecnológicas o protocolos de actuación. Sin embargo, una y otra vez la realidad de las organizaciones nos recuerda que el eslabón más débil de la cadena no siempre es organizativo o tecnológico, sino el humano.
Índice de contenidos
El riesgo del error humano y las sanciones de la AEPD
Implicaciones laborales: del tratamiento indebido al despido disciplinario
Hacia una cultura de cumplimiento preventivo

Recientemente, una resolución de la Agencia Española de Protección de Datos ha vuelto a situar el foco en esta realidad. Incluso cuando una organización dispone de políticas internas y herramientas de seguridad, un solo error humano puede desencadenar una vulneración del Reglamento General de Protección de Datos, no por mala fe, desconocimiento o desobediencia, sino simplemente porque el factor humano, por su propia naturaleza, no es infalible.

El riesgo del error humano y las sanciones de la AEPD

En esta ocasión, la AEPD ha considerado que el envío de credenciales de acceso en texto plano a través de un correo electrónico no cifrado constituye una brecha de seguridad y una infracción del RGPD, que obliga a garantizar un nivel de seguridad adecuado al riesgo. Aunque el empleado responsable del envío lo hizo por error y no hubo indicios de acceso por terceros, la cuestión no cambia, si el sistema permite que un simple descuido pueda exponer datos, entonces el sistema no es suficiente. La consecuencia fue una sanción por incumplimiento de la normativa de privacidad, al entender la autoridad de control que el riesgo derivado del error humano debía haber sido previsto y gestionado por la organización.

Responsabilidad de la empresa frente a las acciones del empleado

Esta reflexión plantea una doble interrogante: ¿Hasta qué punto el error de un empleado puede exonerar a la organización? ¿Hasta dónde alcanza su responsabilidad?

El RGPD establece que los empleados que manejan datos personales lo hacen bajo la autoridad la empresa y únicamente siguiendo sus instrucciones. Dicho de otro modo, el trabajador no es el responsable del tratamiento de los datos.

Cuando el empleado asume la responsabilidad del tratamiento

Sin embargo, en una reciente resolución, la autoridad de control adopta un concepto amplio del término “responsable”. Esto significa que, en escenarios en los que un empleado utiliza los datos para fines propios, actúa al margen de sus funciones, accede a información sin justificación o ignora deliberadamente los protocolos internos, ya no puede entenderse que actúa bajo la autoridad de la empresa. En esos casos, el empleado puede ser considerado responsable del tratamiento de los datos por sí mismo, pero siempre y cuando la organización haya establecido medidas razonables para evitar ese tipo de conductas.

Esta distinción es crucial porque determina no solo el alcance de la responsabilidad administrativa, sino también la eventual responsabilidad civil o incluso penal según la gravedad de la actuación.

Implicaciones laborales: del tratamiento indebido al despido disciplinario

Y en el plano laboral, ¿puede un tratamiento indebido justificar un despido? Un tratamiento indebido puede constituir una transgresión de la buena fe contractual y, en determinados casos, justificar un despido disciplinario. Y así lo confirma la reciente jurisprudencia.

El Tribunal Superior de Justicia de Andalucía (STSJ de Andalucía 18059/2025) ha declarado procedente el despido disciplinario de un trabajador que envió sin cifrar archivos PDF con información especialmente sensible. El Tribunal concluyó que:

  • Existían protocolos internos claros sobre cómo manejar esta información.
  • El trabajador había recibido formación específica.
  • El tratamiento indebido supuso una quiebra absoluta de la buena fe contractual y generó un riesgo real para los derechos de terceros.
  • La negligencia fue grave y no excusable, por lo que la empresa estaba legitimada para aplicar la sanción más severa.

Este pronunciamiento refuerza que, si la organización acredita que ha cumplido sus obligaciones relativas a información, instrucciones, medidas técnicas y organizativas, un tratamiento indebido puede tener consecuencias disciplinarias, incluida la extinción contractual.

Hacia una cultura de cumplimiento preventivo

Las resoluciones más recientes dejan un mensaje claro, las organizaciones no deben limitarse a reaccionar, sino anticipar.

El cumplimiento normativo no es un documento ni un software, sino una cultura. Y esa cultura debe construirse sobre la formación continua del personal de la empresa, la implantación de controles preventivos, el diseño de procedimientos que dificulten el error y la existencia de políticas y protocolos claros y efectivamente aplicables.

En un contexto en el que cada incidente puede suponer un riesgo jurídico, económico y reputacional, la gestión del factor humano pasa a ser una pieza central del cumplimiento normativo. En cualquier caso, el error humano nunca desaparecerá, pero su impacto sí puede mitigarse.

David Moldes Marty

Abogado.

Saber más de David

lnkdn

Te puede interesar

Crecimiento récord de las auditoras medianas en 2025: Afianza entra en el ‘Top 10’
El sector de los servicios profesionales en España vive un...
Afianza Legal refuerza su área de Tributario con la incorporación de Miguel Ángel Araque
Afianza da un paso estratégico en su plan de expansión...
El dictamen del Consejo de Estado sobre el registro de jornada: implicaciones y desafíos para las empresas
El reciente informe desfavorable del Consejo de Estado sobre la...
Ciberseguridad para Pymes: el reto de proteger el 99% del tejido empresarial español
La digitalización de la pequeña y mediana empresa española ha...