El Tribunal Suprem ha fixat doctrina sobre què s'ha d'entendre per tractament de dades personals quan una empresa o una administració sol·licita informació a una persona física. La clau de la sentència és que l'obligació de complir el RGPD neix des del mateix moment en què es demanen les dades, tot i que finalment no arribin a lliurar-se.
La resolució parteix del cas d'un empleat d'una institució penitenciària que havia sol·licitat diverses baixes de curta durada. El centre li va reclamar que aportés els justificants mèdics que emparaven la seva malaltia, inclosa informació sobre el diagnòstic i el tractament. El funcionari es va negar a facilitar aquesta documentació i va posar els fets en coneixement de l'Agencia de Protección de Datos.
De l'expedient de l'Agència al criteri del Suprem
L'Agència va obrir expedient a Institucions Penitenciàries, dependent del Ministeri de l'Interior, i va apreciar una vulneració del Reglament General de Protecció de Dades. Tanmateix, l'Audiència Nacional va donar la raó a l'Advocacia de l'Estat en entendre que, si no hi havia recollida efectiva de la dada, no existia tractament i, per tant, el RGPD no resultava aplicable.
El Suprem ha corregit ara aquest criteri. La Sala va admetre el recurs de cassació amb l'argument que el mer requeriment de dades personals, quan es produeix dins d'un procés ordenat i organitzat per tractar-les, ja constitueix tractament de dades personals. Per això, afegeix, des d'aquest primer moment s'han de respectar els principis del reglament europeu.
El principi de minimització, en el centre de la sentència
La sentència posa el focus en el principi de minimització de dades, recollit en l'article 5.1.c) del RGPD. Aquest precepte exigeix que les dades siguin adequades, pertinents i limitades al que és necessari en relació amb la finalitat perseguida.
En aquest marc, el Suprem conclou que l'Administració va anar més enllà del necessari, perquè ja s'havien aportat justificants mèdics suficients per acreditar l'absència del treballador. Exigir a més el diagnòstic i el tractament suposava accedir a dades especialment sensibles sense una justificació proporcional.
Els magistrats precisen que el control de l'absentisme laboral i la lluita contra el frau són fins legítims. També admeten que aquest objectiu pot emparar sol·licituds de dades de salut si s'acredita que són adequades i pertinents per a aquest fi concret.
Què pot demanar una empresa i què no
La resolució delimita amb claredat l'abast d'aquestes sol·licituds en supòsits de baixes breus. Per a l'absentisme laboral de curta durada, el Suprem sosté que no és pertinent que el centre de treball conegui el diagnòstic mèdic ni el tractament. Va un pas més enllà i afirma que aquest accés no és adequat, ni pertinent, ni tampoc proporcional.
La doctrina general queda formulada en termes amplis. El responsable del tractament queda subjecte al compliment dels principis del RGPD des que sol·licita a una persona física l'aportació de dades personals, amb independència que aquestes dades arribin o no a facilitar-se i a recollir-se després.
L'abast pràctic de la sentència afecta empreses i administracions públiques, que hauran de revisar com formulen requeriments d'informació en àmbits com recursos humans, formularis o processos de captació de clients, ja que el control del RGPD s'avança a l'instant mateix en què es demana la dada.