Protocolo de Acoso Sexual en la Empresa: Obligación Legal y RGPD
Protección de Datos Laboral 18 junio 2026 · 12 min de lectura

Protocolo de Acoso Sexual en la Empresa: Obligación Legal y RGPD

Desde 2022, todas las empresas con 50 o más trabajadores están obligadas a contar con un protocolo de acoso sexual y por razón de sexo. Pero hay más: el tratamiento de datos en estos expedientes exige cumplir el RGPD al detalle para evitar sanciones dobles.

Si tienes una empresa, seguramente has oído hablar del protocolo de acoso sexual. Desde 2022, disponer de uno dejó de ser una buena práctica para convertirse en una obligación legal. Y lo que quizás no te han contado todavía es que este protocolo genera datos personales muy sensibles que deben tratarse con las máximas garantías del Reglamento General de Protección de Datos (RGPD).

En este artículo te explicamos qué es exactamente este protocolo, quién está obligado a tenerlo, qué contenido mínimo debe incluir, cómo gestionar correctamente los datos personales de los expedientes y cuál es el papel del Delegado de Protección de Datos (DPD) en todo este proceso. Sin tecnicismos, sin rodeos.

¿Qué es el protocolo de acoso sexual y por razón de sexo?

El protocolo de acoso sexual y por razón de sexo es un documento interno que establece el procedimiento que debe seguir una empresa cuando se produce una denuncia o sospecha de acoso en el entorno laboral. Incluye cómo actuar, quién investiga, cómo se protege a la víctima y cuáles son las consecuencias disciplinarias para el agresor.

No es solo un papel para guardar en un cajón. Es una herramienta viva que debe conocerse, comunicarse a toda la plantilla y aplicarse de manera efectiva cuando sea necesario.

Base legal: La obligación de contar con un protocolo de acoso sexual y por razón de sexo emana de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres (artículo 48), desarrollada y reforzada por el Real Decreto 901/2020 sobre planes de igualdad. La Ley 10/2022, de 6 de septiembre amplió las obligaciones y aclaró definitivamente el umbral de aplicación.

¿Quién está obligado a tener este protocolo?

Aquí es donde muchos empresarios se llevan una sorpresa. La obligación no se limita únicamente a las grandes corporaciones.

Empresas con 50 o más trabajadores

Si tu empresa tiene 50 o más personas en plantilla, estás obligado a disponer de un plan de igualdad registrado que, entre otros elementos, debe incluir medidas específicas para prevenir y actuar ante el acoso sexual. El protocolo forma parte indisociable de ese plan.

Todas las empresas, independientemente del tamaño

Y aquí viene la parte que más sorprende: el artículo 48 de la Ley Orgánica 3/2007 obliga a cualquier empresa, sin distinción de tamaño, a adoptar medidas para prevenir el acoso sexual y el acoso por razón de sexo. El protocolo es la medida más concreta y efectiva para cumplir con esta obligación.

Dicho de otro modo: si tienes tres trabajadores, técnicamente debes tener algún tipo de procedimiento para actuar ante posibles situaciones de acoso. Las empresas con 50 o más están obligadas a formalizarlo dentro del plan de igualdad, pero nadie queda exento de la obligación de prevención.

⚠ Riesgo legal: No contar con un protocolo de acoso sexual puede suponer sanciones de entre 7.501 € y 225.018 € según la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS), tipificadas como infracción grave o muy grave. Además, en caso de acoso probado sin protocolo previo, la empresa puede enfrentarse a responsabilidad civil directa y daños reputacionales muy difíciles de revertir.

Contenido mínimo que debe tener el protocolo

No existe un modelo único obligatorio, pero la normativa y la doctrina de la Inspección de Trabajo determinan que un protocolo válido debe contener, como mínimo, los siguientes elementos:

1. Declaración de principios y compromiso de la dirección

La empresa debe dejar por escrito que el acoso sexual y el acoso por razón de sexo son conductas inaceptables y que se tomarán medidas ante cualquier caso. Este compromiso debe firmarlo la dirección o representación legal de la empresa.

2. Definiciones claras

El protocolo debe definir qué se entiende por acoso sexual y por acoso por razón de sexo, diferenciando ambos conceptos. Muchas empresas confunden o mezclan estas dos figuras, lo que debilita el procedimiento desde el inicio.

  • Acoso sexual: cualquier comportamiento verbal, no verbal o físico de naturaleza sexual no deseado, que tenga el propósito o el efecto de atentar contra la dignidad de una persona.
  • Acoso por razón de sexo: comportamiento no deseado relacionado con el sexo de una persona que tenga el propósito o el efecto de atentar contra su dignidad y crear un entorno intimidatorio, hostil, degradante, humillante u ofensivo.

3. Ámbito de aplicación

El protocolo debe indicar a quién se aplica: trabajadores propios, personal en prácticas, personal de empresas subcontratadas que trabajen en el centro, visitas frecuentes, etc. Cuanto más amplio sea el ámbito definido, mejor protegida estará la empresa.

4. Canal de denuncia accesible y confidencial

Debe existir un procedimiento claro para que cualquier persona pueda presentar una denuncia o queja. Este canal puede ser una persona designada dentro de la empresa (habitualmente del área de RRHH), una comisión, o un canal externo. Lo esencial es que sea accesible, confidencial y no genere represalias.

5. Procedimiento de investigación

Una vez recibida la denuncia, el protocolo debe establecer los pasos concretos de la investigación interna: quién investiga, en qué plazos, cómo se recogen testimonios, cómo se protege a las personas implicadas durante el proceso y cómo se documenta todo.

6. Medidas cautelares durante la investigación

Mientras se investiga, la empresa debe poder adoptar medidas provisionales para proteger a la presunta víctima: cambio de turno, de ubicación, teletrabajo temporal, etc. Estas medidas no prejuzgan el resultado y son fundamentales para proteger a quien denuncia.

7. Resolución y medidas disciplinarias

El protocolo debe detallar las consecuencias disciplinarias en caso de que la investigación confirme el acoso. Estas consecuencias deben estar también recogidas en el convenio colectivo aplicable o en el reglamento interno de la empresa.

8. Difusión y formación

De nada sirve tener un protocolo si nadie lo conoce. La empresa debe garantizar que toda la plantilla tenga acceso al documento y debe ofrecer formación periódica sobre su contenido y sobre los derechos de los trabajadores.

El tratamiento de datos personales en los expedientes de acoso: aquí entra el RGPD

Cuando se abre un expediente de investigación por acoso, se generan y tratan datos personales de carácter muy sensible. Y aquí es donde el RGPD entra en escena con toda su fuerza.

¿Qué tipo de datos se tratan?

En un expediente de acoso se manejan datos que van mucho más allá de un nombre y un apellido:

  • Datos de identificación de la denunciante y del denunciado.
  • Testimonios de testigos con datos identificativos.
  • Descripciones de conductas de naturaleza sexual o íntima.
  • Información sobre la salud psicológica de la víctima (si aporta partes médicos o informes).
  • Correos electrónicos, mensajes, grabaciones u otras pruebas digitales.
  • Informes internos con valoraciones sobre las conductas de los trabajadores.

Estamos hablando, en muchos casos, de datos especialmente protegidos en el sentido del artículo 9 del RGPD (datos relativos a la salud, datos sobre vida sexual u orientación sexual). Su tratamiento exige medidas reforzadas.

Base jurídica del tratamiento: Según el RGPD y la jurisprudencia de la AEPD, la base jurídica para tratar los datos de un expediente de acoso es el artículo 6.1.c) del RGPD (obligación legal) en combinación con el artículo 9.2.b) (tratamiento necesario para el cumplimiento de obligaciones en materia de Derecho laboral). La empresa no necesita el consentimiento de las partes para abrir o instruir el expediente.

Principios del RGPD que deben respetarse en el expediente

Minimización de datos: Solo deben recogerse los datos estrictamente necesarios para investigar y resolver el caso. No se pueden recopilar datos "por si acaso" ni ampliar el alcance de la investigación más allá de lo que exige el objeto del expediente.

Confidencialidad: El acceso al expediente debe estar restringido a las personas que participan en la instrucción. No puede conocer el contenido cualquier responsable de área, ni compartirse sin necesidad con terceros.

Limitación del plazo de conservación: Una vez resuelta la investigación, los datos deben conservarse únicamente durante el tiempo necesario para cubrir posibles acciones legales posteriores. En la práctica, se recomienda un plazo de conservación de entre tres y cinco años, en función del tipo de actuaciones adoptadas y los plazos de prescripción aplicables.

Integridad y confidencialidad: El expediente debe guardarse de forma segura, preferiblemente cifrado si se conserva en soporte digital, y con acceso controlado mediante credenciales personales.

Derechos de las partes implicadas

Tanto la persona denunciante como la denunciada tienen derechos reconocidos por el RGPD (acceso, rectificación, supresión, limitación). Sin embargo, el ejercicio de estos derechos puede limitarse mientras la investigación está en curso si ello pudiera perjudicar el desarrollo del procedimiento o los derechos de terceros. Esta limitación debe estar justificada y documentada.

La empresa debe informar a las partes sobre el tratamiento de sus datos desde el inicio del expediente, tal como exigen los artículos 13 y 14 del RGPD. Esto incluye indicar quién trata los datos, con qué finalidad, durante cuánto tiempo y cuáles son sus derechos.

El papel del Delegado de Protección de Datos (DPD) en el protocolo de acoso

Si tu empresa dispone de un Delegado de Protección de Datos, ya sea interno o externo, este juega un rol importante en la gestión del protocolo, aunque su función no es investigar el acoso sino garantizar que el tratamiento de datos en el proceso se realiza correctamente.

¿Qué hace el DPD en este contexto?

  • Asesora sobre la base jurídica adecuada para el tratamiento de los datos del expediente.
  • Revisa que el protocolo incluya las obligaciones de información RGPD hacia las partes implicadas.
  • Verifica que el expediente se gestiona con las medidas de seguridad adecuadas (acceso restringido, cifrado, trazabilidad).
  • Evalúa si es necesaria una Evaluación de Impacto en la Protección de Datos (EIPD) en función del volumen y naturaleza de los datos tratados.
  • Asesora sobre los plazos de conservación de la documentación del expediente.
  • Actúa como punto de contacto si alguna de las partes ejerce sus derechos RGPD durante o después del proceso.

El DPD no toma parte en la investigación del acoso ni en la valoración de los hechos. Su función es exclusivamente velar por que el tratamiento de datos sea lícito, leal y transparente.

¿Es obligatorio tener DPD para gestionar un expediente de acoso?

No necesariamente. La obligación de contar con un DPD viene determinada por la actividad de la empresa y el volumen de datos que trata (artículo 37 del RGPD). Sin embargo, dado que los expedientes de acoso pueden implicar datos especialmente sensibles, contar con el asesoramiento de un DPD —aunque sea externo— es altamente recomendable para cualquier empresa que deba gestionar este tipo de procedimientos.

Errores más frecuentes que cometen las empresas

Después de años asesorando a empresas de todos los tamaños, estos son los fallos que vemos repetirse una y otra vez:

  1. Tener el protocolo "por cumplir" sin comunicarlo a la plantilla. Un documento que nadie conoce no protege ni a la empresa ni a los trabajadores.
  2. No designar a una persona responsable de recibir las denuncias. El canal de denuncia debe tener un responsable concreto, identificado y accesible.
  3. Compartir el expediente con personas que no participan en la investigación. La confidencialidad es un requisito legal, no una opción.
  4. No informar a las partes sobre el tratamiento de sus datos. Saltarse la información RGPD en un expediente de acoso puede generar una sanción independiente de la AEPD.
  5. Conservar los datos indefinidamente. Una vez cerrado el expediente, deben aplicarse los plazos de conservación y proceder a la supresión segura de los datos cuando corresponda.
  6. Confundir el protocolo de acoso laboral (mobbing) con el de acoso sexual. Son procedimientos distintos con bases legales diferentes. Tener uno no exime de tener el otro.

¿Cómo integrar el protocolo en el sistema de protección de datos de la empresa?

El protocolo de acoso sexual no puede vivir aislado del sistema de gestión de protección de datos de la empresa. Debe integrarse de forma coherente:

  • El Registro de Actividades de Tratamiento (RAT) debe incluir una entrada específica para el tratamiento de datos derivado de expedientes de acoso sexual, con su base jurídica, categorías de datos, plazos de conservación y medidas de seguridad.
  • Las políticas de seguridad de la empresa deben contemplar el acceso restringido a este tipo de expedientes.
  • Si se usan herramientas digitales para gestionar el expediente (correo electrónico corporativo, software de RRHH, etc.), el contrato con el proveedor debe incluir las cláusulas de encargado del tratamiento exigidas por el artículo 28 del RGPD.
  • La política de privacidad interna para trabajadores debe mencionarlo como una de las finalidades del tratamiento.
⚠ Doble riesgo sancionador: Un expediente de acoso mal gestionado puede generar sanciones por dos vías independientes: la Inspección de Trabajo y Seguridad Social (por incumplimientos laborales) y la Agencia Española de Protección de Datos (AEPD) (por vulneraciones del RGPD). Ambas sanciones son compatibles y acumulables.

Resumen práctico: pasos para cumplir hoy mismo

  1. Redacta o revisa tu protocolo de acoso sexual asegurándote de que incluye todos los elementos mínimos descritos en este artículo.
  2. Comunícalo a toda la plantilla por escrito y guarda evidencia de esa comunicación.
  3. Designa formalmente a la persona o comisión responsable de recibir y tramitar las denuncias.
  4. Incluye el tratamiento de datos de expedientes de acoso en tu Registro de Actividades de Tratamiento.
  5. Prepara el modelo de información RGPD que se entregará a las partes cuando se abra un expediente.
  6. Define los plazos de conservación y las medidas de seguridad para la custodia de los expedientes.
  7. Si tienes DPD, consúltale antes de abrir cualquier expediente para asegurarte de que el procedimiento cumple el RGPD.

¿Tu empresa tiene el protocolo de acoso sexual en regla? Te ayudamos a comprobarlo y a ponerlo al día.

En ConfidencialyDat llevamos años ayudando a empresas y autónomos de Murcia a cumplir con el RGPD de forma sencilla y sin tecnicismos. Solicita tu presupuesto personalizado sin ningún compromiso.

📞 633 705 235 · ✉ confidencialydat@veltaris.es

→ Pide tu presupuesto gratis ahora

]]>
← Protocolo de Desconexión Digital: Guía para Empresas 2026