No es la primera vez que surge esta cuestión: ¿cuándo se entiende iniciado, desde el punto de vista legal, un tratamiento de datos personales? El Tribunal Supremo ha dado respuesta a este interrogante en su sentencia 1590/2026, de 26 de marzo.
Antecedentes del caso
El caso tiene su origen en un procedimiento sancionador de la AEPD, en el que se cuestionaba la solicitud, por parte de la Dirección del Centro Penitenciario de Lanzarote, de datos relativos a la salud de un funcionario que se ausentó de su puesto de trabajo durante tres días por motivos de salud, presentando el correspondiente justificante médico en el que se indicaba «indisposición». Asimismo, justificó una ausencia posterior mediante un documento que acreditaba su asistencia a una consulta médica.
La Dirección del centro exigió la aportación del diagnóstico médico y del tratamiento prescrito. El funcionario se negó a facilitarlos, al considerar que pertenecían a su esfera de intimidad y que no eran necesarios para justificar su ausencia. Como consecuencia, el funcionario fue sancionado.
Tras la instrucción del correspondiente procedimiento sancionador, la AEPD impuso a la Secretaría General de Instituciones Penitenciarias una sanción de apercibimiento por vulneración del principio de minimización de datos previsto en el artículo 5.1.c) del RGPD, al considerar que la solicitud cursada era excesiva e innecesaria para la finalidad de control del absentismo laboral.
Sobre la definición de “tratamiento de datos”
El Tribunal Supremo entiende lo siguiente:
«La definición del “tratamiento de datos”, contenida en el artículo 4 del RGPD, permite concluir que ya existe “tratamiento de datos” en el momento en el que la Administración solicita a una persona física la entrega de datos personales, aunque, al final, estos no se entreguen por el interesado y, por tanto, no se reciban por la Administración pública. Ello supone que, desde el momento en el que se solicita la entrega de datos personales, el responsable del tratamiento de datos personales tiene la obligación de respetar los principios relativos al tratamiento de datos contenidos en el artículo 5 del RGPD y, entre ellos, el principio de minimización de datos especificado en el artículo 5.1.c) del RGPD que implica que, previamente, a la obtención de los datos personales deberá examinar si los datos que quiere conseguir son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que van a ser tratados».
La sentencia se alinea con la doctrina del TJUE que, en su sentencia de 24 de febrero de 2022 (C-175/20), declaró que el legislador de la Unión quiso dar un “alcance amplio” al concepto de «“tratamiento». En la sentencia de 5 de octubre de 2023 (C-659/22) reitera esta interpretación amplia.
El Tribunal Supremo refuerza el enfoque preventivo que inspira el RGPD, así como el principio de responsabilidad proactiva y las exigencias de protección de datos desde el diseño y por defecto.
Conclusión
Una interpretación literal y formalista del artículo 4.2 del RGPD podría llevar a pensar que no existe tratamiento si no se llegan a recabar datos personales.
Sin embargo, el Tribunal Supremo deja claro que las obligaciones del responsable del tratamiento no nacen con la recepción de los datos, sino con anterioridad: en el momento en que se decide qué datos se van a solicitar, para qué finalidad y por qué medios; así, con carácter previo a la obtención de los datos, debe cerciorarse que los datos solicitados son adecuados, pertinentes y limitados a lo necesario en relación con la finalidad perseguida.
