Artículos / ¿Cuándo empieza realmente un tratamiento de datos personales?

¿Cuándo empieza realmente un tratamiento de datos personales?

Fecha:
Autor: Binaura
ciberseguridadblog
Woman meditating on yoga mat with phone and drink.

¿Cuándo empieza realmente un tratamiento de datos personales?

Cada día manejamos información de clientes, empleados y proveedores casi sin darnos cuenta, y a veces olvidamos que la protección de datos no empieza cuando los archivamos, sino mucho antes. Una sentencia reciente del Tribunal Supremo nos lo recuerda con una idea que conviene tener muy presente.

¿En qué momento, exactamente, consideramos que estamos tratando datos personales? La respuesta intuitiva sería: cuando ya los tenemos en nuestro poder. Sin embargo, el Tribunal Supremo (en su sentencia STS 1590/2026) ha confirmado algo distinto y, francamente, más exigente: el tratamiento de datos no se limita a lo que ocurre después de obtenerlos, sino que incluye también las actuaciones previas dirigidas a conseguirlos. Es decir, solicitar unos datos ya puede considerarse un tratamiento.

El caso es ilustrativo. Una administración pública pidió a un empleado que aportara su diagnóstico y tratamiento médico para justificar ciertas ausencias. Hablamos de datos de salud, una de las categorías especialmente protegidas por el Reglamento General de Protección de Datos (el RGPD, la norma europea que regula cómo debemos manejar la información personal). El empleado se negó a facilitar esa información, y aquí surgió la duda: ¿hubo tratamiento de datos si los datos nunca llegaron a entregarse?

La Audiencia Nacional entendía que no, que sólo había tratamiento cuando existía recogida efectiva. El Tribunal Supremo, en cambio, adopta una interpretación más amplia: la propia petición de los datos, sobre todo si es indebida o desproporcionada, ya forma parte del tratamiento y puede tener consecuencias legales.

¿Y qué significa esto para nosotros en el día a día? Pues que debemos pensárnoslo dos veces antes de pedir información personal, aunque luego no lleguemos a recibirla. La clave está en la proporcionalidad: no solicitar más de lo necesario.

Para evitar problemas, conviene tener en cuenta algunas pautas básicas:

  • Pidan únicamente los datos imprescindibles para la finalidad concreta.
  • Eviten requerir datos sensibles (salud, ideología, biometría) salvo que exista base legal clara.
  • Justifiquen siempre por qué solicitan cada dato.
  • Documenten sus peticiones, no solo lo que finalmente almacenan.

Como bien explica Francisco Pérez Bes, adjunto de la Agencia Española de Protección de Datos, en el blog de la propia Agencia, esta interpretación refuerza la protección de las personas desde el primer momento del proceso.

Así que la recomendación es sencilla: revisemos qué información pedimos y por qué. La prudencia empieza antes de tener el dato en la mano.

Fuente original: Agencia Española de Protección de Datos