El Tribunal Supremo ha fijado doctrina sobre qué debe entenderse por tratamiento de datos personales cuando una empresa o una administración solicita información a una persona física. La clave de la sentencia es que la obligación de cumplir el RGPD nace desde el mismo momento en que se piden los datos, aunque finalmente no lleguen a entregarse.
La resolución parte del caso de un empleado de una institución penitenciaria que había solicitado varias bajas de corta duración. El centro le reclamó que aportara los justificantes médicos que amparaban su enfermedad, incluida información sobre el diagnóstico y el tratamiento. El funcionario se negó a facilitar esa documentación y puso los hechos en conocimiento de la Agencia de Protección de Datos.
Del expediente de la Agencia al criterio del Supremo
La Agencia abrió expediente a Instituciones Penitenciarias, dependiente del Ministerio del Interior, y apreció una vulneración del Reglamento General de Protección de Datos. Sin embargo, la Audiencia Nacional dio la razón a la Abogacía del Estado al entender que, si no había recogida efectiva del dato, no existía tratamiento y, por tanto, el RGPD no resultaba aplicable.
El Supremo ha corregido ahora ese criterio. La Sala admitió el recurso en casación con el argumento de que el mero requerimiento de datos personales, cuando se produce dentro de un proceso ordenado y organizado para tratarlos, ya constituye tratamiento de datos personales. Por eso, añade, desde ese primer momento deben respetarse los principios del reglamento europeo.
El principio de minimización, en el centro de la sentencia
La sentencia pone el foco en el principio de minimización de datos, recogido en el artículo 5.1.c) del RGPD. Ese precepto exige que los datos sean adecuados, pertinentes y limitados a lo necesario en relación con la finalidad perseguida.
En ese marco, el Supremo concluye que la Administración fue más allá de lo necesario, porque ya se habían aportado justificantes médicos suficientes para acreditar la ausencia del trabajador. Exigir además el diagnóstico y el tratamiento suponía acceder a datos especialmente sensibles sin una justificación proporcional.
Los magistrados precisan que el control del absentismo laboral y la lucha contra el fraude son fines legítimos. También admiten que ese objetivo puede amparar solicitudes de datos de salud si se acredita que son adecuadas y pertinentes para ese fin concreto.
Qué puede pedir una empresa y qué no
La resolución delimita con claridad el alcance de esas solicitudes en supuestos de bajas breves. Para el absentismo laboral de corta duración, el Supremo sostiene que no es pertinente que el centro de trabajo conozca el diagnóstico médico ni el tratamiento. Va un paso más allá y afirma que ese acceso no es adecuado, ni pertinente, ni tampoco proporcional.
La doctrina general queda formulada en términos amplios. El responsable del tratamiento queda sujeto al cumplimiento de los principios del RGPD desde que solicita a una persona física la aportación de datos personales, con independencia de que esos datos lleguen o no a facilitarse y a recogerse después.
El alcance práctico del fallo afecta a empresas y administraciones públicas, que deberán revisar cómo formulan requerimientos de información en ámbitos como recursos humanos, formularios o procesos de captación de clientes, ya que el control del RGPD se adelanta al instante mismo en que se pide el dato.