En el presente supuesto, un funcionario de prisiones se ausentó durante 3 días de su puesto de trabajo, justificando su ausencia ante el Centro Penitenciario mediante la aportación de distintos justificantes médicos en los que se hacía constar la indisposición del empleado, estando firmados y sellados por el facultativo. A pesar de ello, el Centro Penitenciario requirió al funcionario aportar tanto el diagnóstico como el tratamiento médico, no siendo facilitada dicha documentación por el empleado, que alegó que esa información pertenecía a su intimidad personal. Habida cuenta de ello, el centro dedujo en su nómina los días de ausencia.
La AEPD dictó una resolución (con sanción de apercibimiento) en la que se declaraba que se habían infringido el principio de minimización de datos.
Contra dicha resolución sancionadora, se interpuso recurso contencioso-administrativo por el Abogado del Estado. La Audiencia Nacional estimó dicho recurso declarando que la definición del RGPD (artículo 4) ha sido concebida para los supuestos en los que se comunican los datos por el titular y, en consecuencia, se insertan en el ámbito del tratamiento, de modo que “para que pueda hablarse de tratamiento de datos es preciso la recogida de los mismos”. Habida cuenta de ello, al no haberse producido un tratamiento de datos por no haberse recibido los mismos, no se puede imputar la infracción de la normativa.
La autoridad de control, a la vista de la sentencia dictada por la Audiencia Nacional, interpuso el correspondiente recurso de casación, siendo su finalidad analizar si puede entenderse que se ha producido un tratamiento de datos por el solo requerimiento de aportación de la documentación indicada.
Así, la AEPD solicitaba que dicho concepto debe interpretarse en un sentido amplio, incluyendo en el mismo “la solicitud de obtención de datos personales del interesado por el responsable del tratamiento, aun cuando dichos datos no hubiesen llegado a ser aportados efectivamente”. De este modo, se ponía de manifiesto que la interpretación de la Audiencia Nacional era contraria a la doctrina del TJUE, que considera que la mera solicitud de datos, destinada a su posterior registro o uso, constituye un tratamiento sujeto a las obligaciones del RGPD. En este sentido, se alegaba que dicho requerimiento se realiza “en el marco de un proceso ordenado y organizado para tratar datos personales” por lo que supone ya un tratamiento que debe cumplir no sólo con el principio de minimización de datos (el responsable debe examinar previamente a la entrega de los datos si aquellos que se solicitan son efectivamente adecuados y pertinentes, estando limitados a la finalidad para la que se requieren), sino también con el principio de protección de datos desde el diseño y por defecto.
Por el contrario, el Abogado del Estado alegó que la definición del artículo 4 del RGPD menciona en primer lugar la recogida de los datos, no siendo casual dicha apreciación, puesto que el tratamiento se inicia con dicha recogida, de modo que, sin ella, no existe tratamiento alguno.
El Tribunal Supremo declara en su sentencia que se debe realizar una interpretación amplia de la normativa (y no literal), de modo que se debe relacionar la definición del artículo 4 con las obligaciones impuestas en el RGPD. Así, se indica que solo es posible la protección efectiva de los derechos fundamentales si se entiende que el tratamiento se inicia con la solicitud de los datos, debiendo dar cumplimiento a las citadas obligaciones con anterioridad a la recogida. Ello es así debido a que si el tratamiento se iniciase con dicha recogida real no existiría esta protección efectiva, puesto que sería en ese momento en el que los datos ya obran en su poder cuando tendría que analizarse si son verdaderamente adecuados y pertinentes. Así, desde el momento en el que se solicitan unos datos, el responsable debe dar cumplimiento a las obligaciones que recoge el RGPD, lo que supone que, previamente, ha tenido que examinar si estos son adecuados y pertinentes.
En conclusión, la definición indicada permite llegar a la conclusión de que ya existe un tratamiento desde el momento en que el responsable solicita al titular la entrega de datos, con independencia de que, finalmente, estos se faciliten.
Una vez resuelto lo anterior, en relación con el fondo del asunto, se declara que sí se infringió el principio de minimización de datos por el Centro Penitenciario, por cuanto la solicitud del diagnóstico y tratamiento era innecesaria para el control del absentismo laboral, habiéndose justificado adecuadamente por el funcionario mediante la entrega de los justificantes médicos.
