El Tribunal Suprem ha fixat doctrina sobre quan comença a aplicar-se la normativa de protecció de dades en les peticions d'informació dirigides a una persona física per part d'una empresa o d'una administració. La sentència estableix que l'obligació de complir el RGPD neix des del mateix moment en què se sol·liciten les dades, encara que finalment no arribin a entregar-se.
La resolució parteix del cas d'un treballador d'una institució penitenciària que havia demanat diverses baixes de curta durada. El seu centre de treball li va reclamar que aportés justificants mèdics de la seva malaltia, amb informació sobre el diagnòstic i el tractament. El funcionari es va negar a facilitar aquesta documentació i va traslladar els fets a l'Agència de Protecció de Dades.
El Suprem corregeix el criteri de l'Audiència Nacional
Després de la denúncia, l'Agència va obrir expedient a Institucions Penitenciàries, organisme dependent del Ministeri de l'Interior, i va apreciar una vulneració del Reglament General de Protecció de Dades. No obstant això, l'Audiència Nacional va donar la raó a l'Advocacia de l'Estat en considerar que, si no hi havia una recollida efectiva de la dada, no existia tractament i per tant el RGPD no resultava aplicable.
El Tribunal Suprem ha corregit aquest criteri en admetre el recurs de cassació amb l'argument que el mer requeriment de dades personals, quan es produeix dins d'un procés ordenat i organitzat per tractar-los, ja constitueix tractament de dades personals. La sentència afegeix que des d'aquell primer moment s'han de respectar els principis del reglament europeu.
El límit és demanar només el necessari
La Sala posa el focus en el principi de minimització de dades recollit en l'article 5.1.c) del RGPD, que obliga que la informació sol·licitada sigui adequada, pertinent i limitada al necessari en relació amb la finalitat perseguida.
En aquest cas, el Suprem conclou que l'Administració va anar més enllà del necessari en exigir dades sobre diagnòstic i tractament quan ja s'havien aportat justificants mèdics suficients per acreditar l'absència del treballador. Per als magistrats, reclamar aquest contingut suposava accedir a dades especialment sensibles sense una justificació proporcional.
La sentència precisa, al mateix temps, que el control de l'absentisme laboral i la lluita contra el frau són fins legítims. També admet que aquests objectius poden justificar sol·licituds de dades de salut si s'acredita que són adequades i pertinents per a aquesta fi concreta.
Doctrina amb abast per a empreses i administracions
En l'anàlisi del cas, l'alt tribunal sosté que, tractant-se de baixes de curta durada per absentisme laboral, no resulta pertinent que el centre de treball conegui ni el diagnòstic mèdic ni el tractament. Afegeix a més que aquest accés no és adequat, ni pertinent, ni tampoc proporcional en supòsits de baixes breus.
La doctrina general que fixa la resolució és clara. El responsable del tractament queda subjecte al compliment dels principis del RGPD des que sol·licita a una persona física l'aportació de dades personals, amb independència que aquestes dades arribin o no a facilitar-se i a recollir-se després.
L'abast de la fallada va més enllà del cas concret i afecta tant a empreses com a administracions públiques, que hauran de revisar com formulen requeriments d'informació en àmbits com recursos humans, formularis o processos de captació de clients. La resolució va ser difosa el 29 d'abril de 2026 a les 10.13 h i reforça la idea que la protecció de dades no comença quan la informació entra en un arxiu, sinó en l'instant mateix en què es demana.