La Agencia Española de Protección de Datos (AEPD) ha visto confirmada por el Tribunal Supremo su resolución sancionadora frente a la Secretaría General de Instituciones Penitenciarias por la solicitud indebida de los datos personales de un funcionario relativos a su salud.
En 2019, un funcionario del Centro Penitenciario de Lanzarote, tras ausentarse de su puesto de trabajo por enfermedad, justificó dichas ausencias mediante los correspondientes justificantes médicos. No obstante, le Centro Penitenciario le requirió que aportara su diagnóstico médico y el tratamiento seguido para completar la justificación. Ante su negativa, se le practicaron deducciones en su salario.
El funcionario interpuso reclamación ante la AEPD al considerar que el centro había requerido información médica relativa a su estado de salud, que resultaba excesiva. La AEPD inició un procedimiento sancionador que finalizó con la imposición de una sanción de apercibimiento por infracción del principio de minimización de datos establecido en el artículo 5.1.c) del Reglamento General de Protección de Datos (RPGD), al considerar que se habían solicitado datos de salud innecesarios.
El Abogado del Estado, en nombre del Centro Penitenciario interpuso recurso contencioso-administrativo ante la Audiencia Nacional, que anuló la sanción la entender que no existía tratamiento de datos, ya que el funcionario no llegó a facilitar la información solicitada. Frente a este fallo, la AEPD interpuso recurso de casación ante el Tribunal Supremo, planteando que puede existir tratamiento de datos personales por el mero requerimiento de información, aun sin su entrega.
El Tribunal Supremo resuelve esta cuestión y fija doctrina jurisprudencial. Declara que, en contra del criterio seguido por la Audiencia Nacional, el concepto de “tratamiento de datos” del artículo 4 del RGPD debe interpretarse de forma amplia, incluyendo también las actuaciones previas dirigidas a su obtención, como la solicitud.
Para llegar a este razonamiento, el Alto Tribunal interpreta el RGPD, poniendo en relación la definición de tratamiento de datos con los principios del artículo 5 (protección de datos desde el diseño) y 25 (protección de datos por defecto). Concluyendo así que las obligaciones del responsable del tratamiento surgen desde que decide qué datos solicitar y con qué finalidad, no solo cuando los recibe.
En consecuencia, la mera solicitud de datos personales ya constituye tratamiento de los mismos, lo que implica que, desde ese mismo momento, deben cumplirse los principios del RGPD, en particular el principio de minimización, verificando previamente que los datos sean adecuados, pertinentes y limitados a lo necesario.
Aplicando esta doctrina al caso concreto, el Tribunal Supremo concluye que la solicitud del diagnóstico médico y del tratamiento era innecesaria y desproporcionada para la finalidad de control del absentismo laboral perseguida, ya que podía realizarse con los justificantes médicos aportados por el funcionario. Asimismo, subraya que, al tratarse de datos relativos a la salud, gozan de una especial protección, lo que refuerza la exigencia de limitar su solicitud a supuestos estrictamente necesarios.
En consecuencia, el Tribunal Supremo estima el recurso de casación, anula la sentencia de la Audiencia Nacional y confirma la resolución de la AEPD, declarando que el Centro Penitenciario de Lanzarote vulneró el principio de minimización de datos al solicitar información médica que no era necesaria para la finalidad perseguida.