El Tribunal Supremo ha admitido a trámite un recurso de casación interpuesto por la Agencia Española de Protección de Datos (AEPD), centrado en un aspecto clave del Reglamento General de Protección de Datos (RGPD): si la mera solicitud de datos personales, sin llegar a recabarlos, puede constituir un «tratamiento de datos» a efectos de la normativa. Este caso, de resolverse a favor de la interpretación que defiende la AEPD, podría marcar un precedente que afectaría de manera importante a las prácticas de recopilación de datos.
El conflicto jurídico en cuestión, inició con una sanción impuesta a la Secretaría General de Instituciones Penitenciarias por presuntamente vulnerar el principio de minimización de datos al solicitar información médica a un funcionario para justificar una ausencia laboral. Aunque el Centro Penitenciario de Arrecife no llegó a recibir los datos solicitados, la AEPD interpretó que la mera solicitud ya configuraba un «tratamiento» de datos personales y, en consecuencia, debía cumplir con los requisitos del RGPD. Este criterio fue rechazado por la Audiencia Nacional, que anuló la sanción al entender que no había existido «tratamiento» en los términos exigidos por la normativa, al no haberse recabado efectivamente la información.
La AEPD elevó el caso al Tribunal Supremo, argumentando que el concepto de «tratamiento» debe entenderse de forma amplia e incluir la solicitud de datos aunque estos no lleguen a ser entregados, siguiendo la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE). La admisión del recurso de casación responde a la voluntad del Tribunal Supremo de clarificar y unificar la interpretación del concepto de «tratamiento» en el ordenamiento jurídico español, sentando así jurisprudencia.
De fallarse a favor de la AEPD, esta interpretación podría impactar en la forma en que las empresas manejan solicitudes de información personal. Si se considera que la mera solicitud de datos es suficiente para configurar un tratamiento de datos, las organizaciones podrían enfrentarse a sanciones en situaciones en las que pidan información personal sin recibirla o usarla directamente.
Enlace al documento AQUÍ
Autora: Elena San Miguel García