Una mujer intentó llevarse sin pagar una prenda de Zara de 29,95 euros, fue condenada por hurto, multada y despedida de Stradivarius

El Tribunal Superior de Justicia de Andalucía ha dictado una sentencia de enorme impacto para el ámbito laboral y, especialmente, en materia de protección de datos: declara procedente el despido de una trabajadora de Stradivarius que intentó sustraer una prenda en Zara y condena, simultáneamente, a la empresa por vulnerar su derecho fundamental a la protección de datos personales.

La resolución, dictada por la Sala de lo Social del TSJ andaluz, considera acreditado que la empleada intentó salir del establecimiento de Zara en el CC Larios de Málaga, perteneciente también al grupo Inditex, sin abonar una prenda valorada en 29,95 euros.

Asimismo, entiende que Stradivarius utilizó ilícitamente una sentencia penal condenatoria, remitida por Prosegur, vulnerando así la normativa europea y española de protección de datos. En consecuencia, el fallo fija una indemnización de 5.000 euros a favor de la trabajadora por lesión de derechos fundamentales.

El intento de hurto ocurrió en Zara y fuera de la jornada laboral

Inicialmente, el Juzgado de Instrucción N.º 2 de Málaga la condenó como autora de un delito leve de hurto mediante sentencia de 19 de septiembre de 2024. El caso adquirió especial relevancia porque los hechos no ocurrieron ni en el centro de trabajo de la empleada, Stradivarius, ni durante su jornada laboral, sino en otra empresa del grupo Inditex.

Ese detalle jurídico era esencial, ya que la trabajadora sostenía que Stradivarius no podía sancionarla disciplinariamente por unos hechos ocurridos fuera de su relación laboral directa.

(Imagen: E&J)

El Tribunal rechaza este argumento pues, aunque reconoce que Stradivarius y Zara tienen personalidad jurídica independiente, considera decisivo que ambas compañías formen parte del grupo Inditex y compartan un mismo código ético y de conducta; un código que había sido expresamente aceptado por la trabajadora y en el que se imponen compromisos de honestidad, integridad y respeto a los intereses del grupo empresarial.

Transgresión de la buena fe contractual

El TSJ concluye que intentar sustraer productos en una empresa perteneciente al mismo grupo constituye una transgresión de la buena fe contractual. La resolución subraya que no se trata de una conducta privada sin conexión con la empresa, sino de una actuación dirigida contra intereses económicos del propio grupo mercantil para el que trabajaba la empleada.

“No es lo mismo cuando el trabajador comete una ilegalidad fuera de su jornada laboral y lo hace, precisamente, contra intereses de su propia empresa”, afirma la Sala, confirmando, plenamente, la procedencia del despido disciplinario.

Este argumento resulta lógico, aunque implica consecuencias distintas para la trabajadora; de modo que si, por ejemplo, el intento de hurto se hubiera producido en Mango o El Corte Inglés, la sanción habría sido menor y, entre otras cosas, no habría sido despedida.

Cesión ilegal de datos personales

El aspecto más trascendente de la resolución aparece en materia de protección de datos: la sentencia declara acreditado que la empresa de seguridad Prosegur remitió a Stradivarius la sentencia penal condenatoria dictada contra la trabajadora; y es precisamente en esta cesión donde el TSJ aprecia la vulneración de derechos fundamentales.

La Sala realiza un extenso análisis del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), recordando que los datos relativos a condenas e infracciones penales tienen un régimen especialmente restrictivo.

El Tribunal subraya que este tipo de datos no pueden circular libremente entre empresas privadas, aun cuando exista consentimiento del trabajador. A diferencia de otras categorías especiales de datos personales, los datos penales solo pueden tratarse cuando exista una habilitación legal expresa o bajo supervisión de autoridades, y según la sentencia, esa habilitación no existía en este caso.

(Imagen: E&J)

El consentimiento del trabajador no legitima la cesión

El TSJ desmonta la idea, habitual en muchas políticas corporativas, de que basta con aceptar cláusulas internas de privacidad para legitimar cualquier tratamiento de datos. En este sentido, sostiene que la política de privacidad y el código de conducta del grupo Inditex tenían un carácter meramente programático y no implicaban un consentimiento expreso y válido para la cesión de sentencias penales entre empresas.

Además, la Sala recuerda que en el ámbito laboral existe un claro desequilibrio entre empresa y trabajador, lo que obliga a extremar las cautelas cuando se pretende fundamentar el tratamiento de datos en el consentimiento.

La resolución cita incluso el Dictamen 2/2017 del Grupo de Trabajo europeo sobre protección de datos, que considera excepcionalmente difícil que el consentimiento de un empleado pueda entenderse plenamente libre en el contexto laboral.

La prueba obtenida ilícitamente no anula automáticamente el despido

Pese a declarar ilícita la cesión de la sentencia penal, el TSJ no anula el despido. La razón es especialmente relevante desde el punto de vista procesal, ya que la Sala explica que la nulidad de una prueba obtenida vulnerando derechos fundamentales no implica automáticamente la nulidad de la decisión empresarial.

En este caso, el Tribunal considera que Stradivarius conoció los hechos por una vía distinta e independiente de la sentencia penal: fue la propia trabajadora quien contó a su encargada y a la responsable de área lo ocurrido en Zara al día siguiente del incidente; ese reconocimiento interno permitió acreditar los hechos sin necesidad de utilizar la sentencia remitida por Prosegur y, por tanto, concluyó que el despido era procedente.

(Imagen: E&J)

Validez del despido y lesión del derecho a la protección de datos

La sentencia realiza una distinción fundamental entre la validez del despido y la lesión autónoma del derecho a la protección de datos; aunque confirma la procedencia de la extinción, la Sala estima parcialmente la acción de tutela ejercitada por la trabajadora, declara la nulidad radical de la cesión de datos de Prosegur y condena a Stradivarius al pago de una indemnización de 5.000 euros por daños morales.

La resolución constituye una advertencia de enorme importancia para departamentos de recursos humanos, empresas de seguridad privada y grupos empresariales con estructuras corporativas integradas.

La protección reforzada de los datos penales

El TSJ deja claro que la utilidad empresarial de determinada información no convierte automáticamente su tratamiento en lícito, ni siquiera cuando el trabajador ha cometido una conducta sancionable, porque, como recuerda la sentencia, los datos relativos a condenas penales tienen una protección reforzada y no pueden circular libremente entre empresas privadas al margen de las estrictas garantías previstas en el RGPD.