El Tribunal Supremo fija el alcance del concepto de “tratamiento” y obliga a cumplir los principios del RGPD desde la solicitud de datos personales

La Sala de lo Contencioso-Administrativo del Tribunal Supremo dictó en fecha 26 de marzo de 2026 (notificada el día 21 de abril) una sentencia de especial relevancia en materia de protección de datos personales al pronunciarse, por primera vez en España, sobre el alcance del concepto de "tratamiento" de datos de carácter personal recogido en el artículo 4.2 del Reglamento General de Protección de Datos (RGPD). En este sentido, el Alto Tribunal ha declarado que el responsable del tratamiento queda sujeto al cumplimiento de los principios reguladores del tratamiento de datos, incluido el principio de minimización (art. 5.1 c) del RGPD), desde el mismo momento en que solicita a una persona física la aportación de datos de carácter personal, con independencia de que dichos datos lleguen o no a ser efectivamente facilitados y ulteriormente recogidos por el responsable del tratamiento.

Antecedentes del caso

El asunto trae causa de un procedimiento sancionador iniciado por la Agencia Española de Protección de Datos (AEPD) contra la Secretaría General de Instituciones Penitenciarias (SGIIPP). Tal como se recoge en los hechos de la sentencia, en 2019 un funcionario del Centro Penitenciario de Lanzarote se ausentó de su puesto de trabajo durante tres días por motivos de salud, presentando el correspondiente justificante médico en el que se indicaba "indisposición". Asimismo, justificó una ausencia parcial posterior con un justificante que acreditaba su asistencia a una consulta médica.

Tras la presentación de dichos justificantes, la Dirección del Centro Penitenciario requirió al funcionario para que aportase el diagnóstico médico concreto y el tratamiento prescrito. El funcionario se negó a facilitar esta información, alegando que su contenido pertenecía a su intimidad personal y no era necesario aportarlo. Como consecuencia de su negativa, se le impusieron sanciones disciplinarias.

La AEPD, tras la instrucción del correspondiente procedimiento sancionador, impuso a la Secretaría General de Instituciones Penitenciarias una sanción de apercibimiento por vulneración del principio de minimización de datos previsto en el artículo 5.1.c) del RGPD, al considerar que la solicitud del diagnóstico médico era excesiva e innecesaria para la finalidad de control del absentismo laboral.

La sentencia de la Audiencia Nacional: la interpretación restrictiva

Frente a la sanción impuesta por la AEPD la SGIIPP formuló recurso contencioso-administrativo ante la Audiencia Nacional, y este tribunal dictó una primera sentencia anulando la sanción impuesta por la AEPD, acogiéndose a una interpretación formalista y literal del artículo 4.2 del RGPD y considerando que no podía hablarse de "tratamiento" de datos si no hubo en ningún momento una recogida efectiva de los mismos. En su razonamiento, la Sala sostuvo que, dado que el funcionario no llegó a facilitar los datos requeridos, la Administración no pudo iniciar ningún tratamiento y, por tanto, no existía el objeto típico de la infracción respecto del principio de minimización de datos personales.

El recurso de casación y la cuestión de interés casacional

La AEPD recurrió en casación frente a la sentencia de la Audiencia Nacional. La dirección letrada del asunto corrió a cargo, como en la instancia anterior, de profesionales del área de Economía del Dato, Privacidad y Ciberseguridad de Garrigues.

La defensa de la AEPD sostuvo que la interpretación de la Audiencia Nacional era contraria a la doctrina del Tribunal de Justicia de la Unión Europea (TJUE), citando, entre otras, las sentencias de 24 de febrero de 2022 (asunto C-175/20), de 5 de octubre de 2023 (asunto C-659/22) y de 4 de octubre de 2024 (asunto C-548/21). El hilo argumental del recurso giraba en torno a la premisa de que el RGPD exige que cualquier responsable del tratamiento implemente sus procedimientos atendiendo a los principios previstos en el RGPD de manera apriorística y anterior a la manipulación física de cualquier dato personal y que, por tanto, el cumplimiento del RGPD, incluyendo el principio de minimización, se debe producir antes de que el dato sea recibido físicamente por el responsable del tratamiento, en aplicación de los principios de accountability (responsabilidad proactiva o rendición de cuentas) y privacidad desde el diseño.

La doctrina fijada por el Tribunal Supremo

En la sentencia aquí comentada, el Tribunal Supremo casa y anula la sentencia de la Audiencia Nacional, realizando los siguientes razonamientos y sentando la siguiente doctrina jurisprudencial:

• Interpretación amplia y sistemática del artículo 4.2 del RGPD. La Sala rechaza la interpretación literal y formalista que condicionaba la existencia de un "tratamiento" a la recogida efectiva de los datos. En su lugar, realiza una interpretación sistemática que relaciona la definición del artículo 4.2 con las obligaciones del responsable del tratamiento derivadas de los artículos 5 y 25 del RGPD. El Tribunal concluye que ya existe "tratamiento de datos" en el momento en que la Administración solicita a una persona física la entrega de datos personales, aunque estos no sean finalmente entregados por el interesado, dado el carácter de numerus apertus que tiene el listado de actividades descritas en el artículo 4.2 del RGPD como constitutivas de un tratamiento de datos.
• Protección efectiva de los derechos fundamentales. El Tribunal Supremo subraya que una protección efectiva de los derechos fundamentales reconocidos en el artículo 8.1 de la Carta de los Derechos Fundamentales de la UE y en el artículo 18 de la Constitución española solo es posible si el tratamiento de datos se entiende ya iniciado cuando se solicita la aportación de datos personales. Condicionar la exigencia del cumplimiento de los principios al momento real de la recepción física de los datos haría difícil la protección de los derechos de los interesados y generaría una incertidumbre incompatible con el principio de seguridad jurídica.
• Alineación con la jurisprudencia del TJUE. La sentencia del Tribunal Supremo se alinea expresamente con la doctrina del TJUE, que, en su sentencia de 24 de febrero de 2022 (asunto C-175/20), ya declaró que el legislador de la Unión quiso dar un "alcance amplio" al concepto de tratamiento, señalando que una solicitud de datos personales por parte de una Administración pública implica un proceso de recogida a efectos del artículo 4.2 del RGPD. Igualmente, invoca la sentencia del TJUE de 5 de octubre de 2023 (asunto C-659/22), que reitera esta interpretación amplia.

Aplicación al caso concreto: vulneración del principio de minimización

En el caso de referencia, la Sala consideró que el Centro Penitenciario de Lanzarote vulneró el principio de minimización de datos al solicitar el diagnóstico médico del funcionario, puesto que dicha información no era adecuada, pertinente ni necesaria para el control del absentismo laboral, que podía ejercerse suficientemente con los justificantes médicos genéricos ya aportados. El Tribunal subrayó que se trataba de datos de salud especialmente protegidos y que, incluso en los supuestos de baja laboral formal, el centro de trabajo no tiene, ni debe tener, acceso al diagnóstico médico del trabajador, pues tanto el INSS como MUFACE excluyen expresamente este dato de los partes comunicados al empleador.

Importancia trascendental del criterio establecido

Esta sentencia constituye un hito en la interpretación del RGPD en España por varios motivos. En primer lugar, porque el Tribunal Supremo sienta por primera vez su criterio jurisprudencial sobre el alcance del concepto de "tratamiento" de datos personales hasta momentos tan iniciales como la propia solicitud, cuestión que hasta ahora no había sido abordada en casación. En segundo lugar, porque alinea la jurisprudencia española con la doctrina que el TJUE venía sosteniendo desde el año 2022 en las sentencias citadas, reforzando la coherencia del sistema de protección de datos en el ámbito europeo. Y, en tercer lugar, porque tiene un impacto práctico de enorme calado: cualquier entidad, pública o privada, que actúe como responsable del tratamiento deberá evaluar el cumplimiento de los principios del RGPD, especialmente el de minimización, antes de formular cualquier solicitud de datos personales y no solo una vez que los datos hayan sido efectivamente recabados.

El criterio sentado por el Tribunal Supremo supone un fortalecimiento del enfoque preventivo y proactivo que inspira el RGPD, reforzando el principio de responsabilidad proactiva (accountability) y la protección de datos desde el diseño y por defecto, de modo que las organizaciones están obligadas a diseñar sus procesos de recogida de datos conforme a los principios del reglamento con carácter previo a cualquier actividad de tratamiento.