Los responsables del tratamiento deberán cumplir con la normativa de protección de datos aplicable en relación con los tratamientos de datos llevados en el ámbito de su alcance, pero ¿desde cuándo hay que cumplir?
El Tribunal Supremo ha dictado una sentencia que aborda una cuestión que tiene un impacto importante en el día a día de cualquier responsable del tratamiento y que analiza si los principios del artículo 5 del RGPD aplican desde que efectivamente se reciben los datos objeto de tratamiento, o bien comienza antes, desde que dichos datos son solicitados.
La Audiencia Nacional había resuelto que no había tratamiento si no había recogida efectiva de los datos, y por tanto que tampoco podía haber infracción del principio de minimización. La AEPD recurrió en casación y el Supremo le ha dado la razón, fijando al respecto un criterio claro.
Hechos
Un funcionario del Centro Penitenciario de Lanzarote se ausentó de su puesto de trabajo entre el 7 y el 9 de abril de 2019 y justificó la ausencia con un parte médico en el que constaba la expresión «indisposición» para esas fechas, con la firma y el sello del facultativo. Posteriormente, el 10 de mayo de 2019, asistió a una consulta médica durante la jornada laboral, lo que también justificó con el correspondiente documento.
La Dirección del centro no se conformó con esos justificantes y, en dos requerimientos sucesivos de mayo de 2019, exigió al funcionario que aportase además el diagnóstico médico y el tratamiento concreto que motivaron las ausencias. El funcionario se negó alegando que se trataba de información que pertenecía a su intimidad personal, por lo que la administración, ante la negativa, le dedujo en nómina los días que a su juicio no estaban justificados.
La AEPD inició procedimiento sancionador y, en febrero de 2021, impuso a la Secretaría General de Instituciones Penitenciarias una sanción de apercibimiento por vulneración del principio de minimización del artículo 5.1.c) del RGPD. La Audiencia Nacional, sin embargo, anuló la sanción argumentando que, si el funcionario nunca llegó a aportar los datos, no había habido recogida y, por tanto, tampoco tratamiento.
Alcance del concepto de tratamiento
El artículo 4.2 del RGPD, que define el tratamiento como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción«, establece como primera operación mencionada en la lista la recogida de los datos.
La Audiencia Nacional y el Abogado del Estado se apoyaban en una lectura literal de la descripción, indicando que si el legislador menciona la recogida en primer lugar es porque el tratamiento empieza ahí, y si no hay recogida efectiva no puede haber tratamiento.
El Tribunal Supremo, por su parte, entiende que una interpretación literal de este tipo no se ajusta a la finalidad del RGPD, que tal como establece el considerando 1, es la protección de las personas físicas en relación con el tratamiento de sus datos, configurado además como derecho fundamental en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea. Si la aplicabilidad de la norma dependiera del éxito en la obtención de los datos personales, tendría consecuencias directas en la efectividad del propio derecho de protección de datos.
Por eso, el Supremo realiza una interpretación sistemática que relaciona el artículo 4.2 con los artículos 5, 6 y 25 del RGPD sobre protección de datos desde el diseño y por defecto. El artículo 25 relativo a la privacidad desde el diseño y por defecto, exige la adopción por parte del responsable de medidas técnicas y organizativas «tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento«. También establece que los principios del artículo 5, entre ellos el de minimización, deben aplicarse antes incluso de recoger los datos, en la fase de diseño. El hecho de revisar el cumplimiento de si los datos son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados una vez tuviese los datos en su poder no tendría sentido, vaciando de contenido el propio principio.
El Supremo apoya esta argumentación en la jurisprudencia del TJUE, en particular en las sentencias de 24 de febrero de 2022 (asunto C-175/20) y de 5 de octubre de 2023 (asunto C-659/22), en las que se sostiene que el concepto de tratamiento debe interpretarse en sentido amplio, como demuestra el uso de la expresión «cualquier operación» y el carácter no exhaustivo de la lista del artículo 4.2. La propia solicitud de datos personales por parte de una administración forma parte de ese concepto amplio.
Doctrina fijada por el Tribunal Supremo
Conforme hemos visto, la adecuada salvaguarda del derecho fundamental a la protección de datos exige una interpretación amplia y no restrictiva del concepto de tratamiento del artículo 4.2 del RGPD. De ahí se infiere que el responsable queda sujeto al cumplimiento de los principios del artículo 5, incluido el de minimización, desde el mismo momento en que solicita a una persona física la aportación de datos personales, con independencia de que los datos lleguen o no a ser efectivamente facilitados.
El responsable no puede esperar a tener los datos para preguntarse si son necesarios y se cumple con el principio de minimización, sino que tiene que ser en el momento del diseño de la solicitud. Si los datos que pide no cumplen con dicho principio, no se podrán llegar a solicitar.
Tratamiento de datos de salud para control del absentismo
Conforme a la argumentación formulada por el Tribunal Supremo, establece que el Centro Penitenciario de Lanzarote efectivamente vulneró el principio de minimización, y que, a pesar de que el control del absentismo laboral y la lucha contra el fraude son fines legítimos, el tratamiento de datos de salud relativos al diagnóstico y al tratamiento médico aplicado no eran necesarios ni proporcionales. El centro de trabajo ya disponía de los justificantes médicos emitidos por un profesional en los que constaba la indisposición durante las fechas correspondientes, sin ser necesarias las razones médicas concretas que padecía.
Adicionalmente a esto, añade que incluso en los supuestos de baja laboral por incapacidad temporal, el centro de trabajo no conoce el diagnóstico médico conforme al artículo 7.2 del Real Decreto 625/2014 y al artículo 89 del Real Decreto 375/2003 (Mutualismo Administrativo). De esta forma, si en una baja por incapacidad temporal de larga duración el empleador no puede conocer el diagnóstico, no tiene mucho sentido defender que sí puede exigirlo en una ausencia de tres días justificada con parte médico.
Conclusiones
La doctrina establecida por el Tribunal Supremo es clara, y sigue lo establecido por el artículo 25 del RGPD relativo a la protección de datos desde el diseño y por defecto. Los responsables del tratamiento deberán así llevar a cabo un análisis interno y definir las medidas técnicas y organizativas apropiadas para cumplir con los principios de protección de datos desde el momento de diseño del tratamiento, sin ser necesario recibir efectivamente los datos. Se subraya así la relevancia de garantizar el derecho a la protección de los datos personales por parte de los responsables desde etapas previas a la recogida de los datos.
Escribe: Alicia Aguilar
