Sentencia Contencioso-Administrativo 390/2026 Tribunal Supremo. Sala de lo Contencioso-Administrativo. Sección Tercera, Rec. 6649/2024 de 26 de marzo del 2026

PRIMERO.- Sobre el objeto del recurso de casación

1. Sentencia impugnada en casación

El recurso de casación que enjuiciamos se ha interpuesto por la representación procesal de la Agencia Española de Protección de Datos contra la sentencia dictada en fecha 24 de mayo de 2024 por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional que estima el recurso contencioso-administrativo interpuesto contra la resolución dictada en fecha 25 de marzo de 2021 por la Agencia Española de Protección de Datos, que confirma en reposición la resolución dictada en fecha 12 de febrero de 2021 por la Directora de la Agencia Española de Protección de Datos. Dichas resoluciones administrativas acuerdan imponer a la Secretaria General de Instituciones Penitenciarias la sanción de apercibimiento por la vulneración de los principios relativos al tratamiento de datos personales contenidos en el artículo 5.1.c) del Reglamento (UE) del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 /CE ( en adelante , RGPD), que se califica como infracción administrativa en el artículo 83.5.a) del citado RGPD.

La sentencia impugnada en casación anula las resoluciones administrativas porque considera que no puede imputarse la vulneración de los principios relativos al tratamiento de datos personales referidos en el artículo 5.1.c) del RGPD, cuando no se ha producido el tratamiento de datos, toda vez que la Administración no llegó a recibir esos datos ante la negativa del afectado a su entrega.

En este sentido, la Sala de instancia expone que:

"El art. 4 RGPD referido al tratamiento está concebido para aquellos supuestos en que el interesado comunica sus datos personales (recogida) y por tanto tales datos se insertan en el ámbito del tratamiento. La Agencia Española de Protección de Datos viene a entender que el requerimiento realizado constituye tratamiento de datos del reclamante, pero este Tribunal coincide con el Abogado del Estado en el sentido de que para que pueda hablarse de tratamiento de datos es preciso la recogida de los mismos, que la persona concernida mediante el requerimiento facilite tales datos, produciéndose, entonces, la recogida de datos en los términos del art. 4 del Reglamento. Ante la ausencia de aportación de tales datos no pudo haber recogida de datos para ser tratados, por lo que no estamos ante un supuesto objeto de infracción. En consecuencia, se ha sancionado un supuesto tratamiento de datos personales cuando no ha existido el objeto típico de la infracción, esa inexistencia objetiva es determinante de la ausencia de infracción, por lo que procede estimar el recurso contencioso-administrativo anulando las resoluciones recurridas (...)."

2. Cuestión que reviste interés casacional objetivo para la formación de jurisprudencia

En el auto de 30 de octubre de 2024 por el que se acuerda la admisión del recurso de casación se indica que la cuestión que presenta interés casacional objetivo consiste en determinar si

"puede entenderse que se ha producido un tratamiento de datos personales en los términos recogidos en el artículo 4 del RGPD por el solo requerimiento de aportación de documentación con datos protegidos de carácter personal".

SEGUNDO.- Consideraciones preliminares

Con el fin de centrar adecuadamente el objeto del debate casacional, consideramos procedente exponer los antecedentes del caso que extraemos de la sentencia impugnada y que las partes no discuten. Y son:

1. Los días 7 a 9 abril de 2019, D. Vidal -funcionario de instituciones penitenciarias- no asistió a su puesto de trabajo en el Centro Penitenciario de Lanzarote. Ausencia que justificó presentando en su centro de trabajo el justificante médico emitido el día 9 de abril en el que el médico especifica "fecha de indisposición del 7/04 al 9/04". Constando, además, la firma y el sello del médico.

2. Asimismo, en fecha 10 de mayo de 2019 el Sr. Vidal, durante la jornada de trabajo, asiste a una consulta médica que justifica presentando justificante en el que se recoge la asistencia a la consulta médica.

3. En fechas 9 y 17 de mayo de 2019, la Directora del Centro Penitenciario requiere al funcionario para que aporte el diagnóstico y el tratamiento médico referente a las ausencias laborales que ha justificado. El funcionario no aporta esos documentos refiriendo que el tratamiento médico y el diagnóstico pertenecen a su intimidad personal.

4. Posteriormente, en fechas 2 y 19 de junio de 2019 se le comunica la deducción en su nómina de los días de ausencia por no haber atendido a la petición de la aportación de la información requerida.

5. En fecha 9 de junio de 2020, la Agencia Española de Protección de Datos inicia procedimiento sancionador contra la Secretaria General de Instituciones Penitenciarias por presunta infracción de los principios relativos al tratamiento de datos contenidos en el artículo 5.1.c) del RGPD que, tras el cumplimiento de los trámites oportunos, finaliza con resolución sancionadora dictada en fecha 12 de febrero de 2021 por la Directora de la Agencia Española de Protección de Datos, que impone la sanción de apercibimiento por vulneración de los principios previstos en el artículo 5.1.c) al haber solicitado, a través del Centro Penitenciario de Lanzarote, datos personales relativos a la salud de un funcionario.

TERCERO.- Planteamiento de las partes

1. Alegaciones de la recurrente, la Agencia Española de Protección de Datos

La recurrente solicita la estimación del recurso de casación y que, en consecuencia, se acuerde la nulidad de la sentencia impugnada porque, a su juicio, interpreta erróneamente el tratamiento de datos de carácter personal definido en el artículo 4.2 del RGPD, en relación con los principios relativos al tratamiento de datos contenidos en el artículo 5.1.c) de la misma norma, al concluir que, no existe tratamiento de datos personales cuando los datos personales que se requirieren para su entrega no se reciben por la Administración ante la negativa a su entrega por parte de quien ha sido requerido.

A este respecto, la entidad recurrente sostiene que la interpretación que alcanza la sentencia impugnada, en relación con el tratamiento de datos, es contraria a la doctrina fijada por el Tribunal de Justicia de la Unión Europea en las sentencias de 24 de febrero de 2022, asunto C-175/20; 30 de marzo de 2023, asunto C-34/21; 5 de octubre de 2023, asunto C-659/22 y 4 de octubre de 2024, asunto C-548/21. Aduce que el TJUE considera que la mera solicitud de datos personales, destinada al posterior registro, consulta o utilización de los mismos, constituye un tratamiento de datos personales sujeto a las exigencias del RGPD y, entre ellas, al respeto de los principios reguladores del tratamiento de datos que, en todo caso, deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (principio de minimización de datos) contenido en el artículo 5.1.c) del RGPD.

En este sentido, la recurrente razona que la regulación contenida en el RGPD exige que, cualquier entidad que actúe como responsable del tratamiento de datos personales, implemente sus procedimientos atendiendo a los principios de licitud y de minimización, lo cual, constituye una obligación apriorística y anterior a la manipulación física de cualquier dato personal que requiere que los datos personales que se solicitan, atendiendo a lo dispuesto en el artículo 5.1.b) del RGPD, deben ser "recogidos con fines determinados, explícitos y legítimos".Lo cual implica que el tratamiento de datos, en el que se incluye la determinación de los fines, ha de estar establecido previamente a la recogida de los datos.

Según la recurrente, el mero requerimiento de datos personales, que se realiza en el marco de un proceso ordenado y organizado para tratar datos personales, supone ya un tratamiento de datos personales que exige el cumplimiento del principio de minimización previsto en el articulo 5.1.c) del RGPD, de tal manera que, el responsable del tratamiento de datos debe cumplir unas obligaciones que son previas a la recepción de cualquier dato de carácter personal. En consecuencia, deberá examinar previamente a la recepción si efectivamente los datos personales que se solicitan son adecuados, pertinentes y limitados a lo necesario para lograr la finalidad pretendida (en este caso, el control del absentismo laboral).

En esta línea argumental, subraya el contenido del artículo 25 del RGPD, que regula el principio de protección de datos desde el diseño y por defecto, en el que se dice que "el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimizacion, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento".

Precisamente, el contenido del citado artículo 25 permite a la recurrente concluir que el cumplimiento de las obligaciones relacionadas con los principios del artículo 5 del RGPD tiene carácter obligatorio con carácter previo a la recepción de los datos personales, en cuanto que permitirá evaluar la licitud, corrección, proporcionalidad y adecuación de cada actividad del tratamiento de datos de carácter personal al RGPD.

En definitiva, la recurrente concluye que la mera solicitud de datos personales forma parte de una actividad diseñada, planificada y ordenada a la obtención de los datos que ya es constitutiva de un tratamiento de datos en el sentido del artículo 4.2) del RGPD y, por ello, debe cumplir los principios relativos al tratamiento de datos mencionados en el artículo 5.1.c) del RGPD que exige que los datos personales sean "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados",con independencia de que el afectado entregue efectivamente esos datos.

2. Alegaciones de oposición formuladas por la parte recurrida

El Abogado del Estado, en la defensa y representación que asume, solicita la desestimación del recurso de casación.

Comparte el criterio de la sentencia de instancia en el sentido de que el tratamiento de datos precisa ineludiblemente la previa obtención del dato personal, de tal modo que no existe tratamiento si el dato no llega a incorporarse al ámbito de actuación de la Administración Pública por la negativa de quien ha sido requerido.

Para ello destaca el artículo 4.2 del RGPD que define el tratamiento de datos como "cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción".

De esa definición destaca que, precisamente, se menciona en primer lugar la recogida de datos, lo que, a su juicio, no es casual, sino la constatación de que el tratamiento de datos comienza con la recogida de los datos de carácter personal. De tal modo que, sin una previa recogida de datos, no se produce el tratamiento de datos de carácter personal y no existe obligación de respetar los principios que son relativos al tratamiento de datos.

Por ello, concluye que, como D. Vidal no entregó el diagnóstico médico que el centro penitenciario le había requerido, entonces, la Administración no pudo iniciar ningún tratamiento de datos por lo que no pudo incurrir en infracción por incumplimiento del principio de minimización de datos.

Subsidiariamente y para el caso de que la Sala entendiera que desatendida la solicitud de un dato personal se está ante un acto constitutivo de tratamiento de datos, considera que, no sería constitutivo de infracción la petición del diagnóstico médico y del tratamiento porque, a su juicio, es una petición pertinente y necesaria al amparo de los artículos 11.3 y 4 de la Resolución de 28 de febrero de 2019, de la Secretaría de Estado de Función Pública.

CUARTO.- Marco normativo aplicable

En el auto dictado en fecha 30 de octubre de 2024 por el que se acuerda la admisión del presente recurso de casación se identifican las normas jurídicas que, en principio, serán objeto de interpretación, como es el artículo 4 del Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, sin perjuicio de que la sentencia pueda extenderse a otras cuestiones o normas si así lo exigiere el debate finalmente trabado en el recurso.

Exponemos así las normas que entendemos que son necesarias para la resolución de la presente controversia casacional.

1. Derecho de la Unión Europea

- Carta de los Derechos Fundamentales de la Unión Europea

Artículo 8. Protección de datos de carácter personal

"1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legitimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.

3. El respeto de estas normas estará sujeto al control de una autoridad independiente".

- Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016 , relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE

Artículo 1. Objeto

"1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

(...)".

Artículo 4. Definiciones

"A efectos del presente Reglamento se entenderá por:

(...)

2. "tratamiento": cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

(...)

15. "datos relativos a la salud": datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud".

Artículo 5. Principios relativos al tratamiento

"1. Los datos personales serán:

a) tratados de manera licita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia).

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines ...

c)adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos).

(...)".

Artículo 6. Licitud del tratamiento

"1. El tratamiento solo será licito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

(...)

c)el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

(...)

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

(...)".

Artículo 25. Protección de datos desde el diseño y por defecto

"1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicara, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimizacion, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

2. El responsable del tratamiento aplicara las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. (...)".

2. Derecho estatal

- Artículo 18 de la Constitución española

"1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

(...)

4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

Artículo 8. Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos

"1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679 , cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679 .

2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1.e) del Reglamento (UE) 2016/679 , cuando derive de una competencia atribuida por una norma con rango de ley".

QUINTO.- Criterio de esta Sala del Tribunal Supremo respecto de la controversia casacional planteada

Delimitada en estos estrictos términos la controversia casacional, corresponde a esta Sala determinar si la sentencia impugnada en casación efectúa una interpretación del tratamiento de datos personales conforme con la definición que del tratamiento de datos se contiene en el artículo 4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Ello nos permitirá dar respuesta a la cuestión de interés casacional objetivo para la formación de jurisprudencia que, de acuerdo con el auto dictado en fecha 30 de octubre de 2024 por la Sección de Admisión de este Tribunal Supremo, consiste en determinar "si puede entenderse que se ha producido un tratamiento de datos personales en los términos recogidos en el articulo 4 del RGPD por el solo requerimiento de aportación de documentación con datos protegidos de carácter personal".

La Sala de instancia estima el recurso contencioso-administrativo interpuesto por el Abogado del Estado y anula las resoluciones administrativas sancionadoras impugnadas. Las razones que han llevado al Tribunal de instancia a la referida estimación es que no existe tratamiento de datos de carácter personal y, por tanto, no puede reprocharse a la Administración pública el incumplimiento del principio de minimización de datos porque no ha recibido ni ha recogido los datos personales solicitados. A este respecto, la sentencia recurrida razona que "para que pueda hablarse de tratamiento de datos es preciso la recogida de los mismos, que la persona concernida mediante el requerimiento facilite tales datos, produciéndose, entonces, la recogida de datos en los términos del art. 4 del Reglamento".

Esta Sala no comparte los razonamientos jurídicos expuestos por la Sala de instancia pues, como veremos, la definición del "tratamiento de datos", contenida en el artículo 4 del RGPD, permite concluir que ya existe "tratamiento de datos" en el momento en el que la Administración solicita a una persona física la entrega de datos personales, aunque, al final, éstos no se entreguen por el interesado y, por tanto, no se reciban por la Administración pública.

Ello supone que, desde el momento en el que se solicita la entrega de datos personales, el responsable del tratamiento de datos personales tiene la obligación de respetar los principios relativos al tratamiento de datos contenidos en el artículo 5 del RGPD y, entre ellos, el principio de minimización de datos especificado en el artículo 5.1.c) del RGPD que implica que, previamente, a la obtención de los datos personales deberá examinar si los datos que quiere conseguir son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que van a ser tratados.

Exponemos los argumentos que nos permiten alcanzar la anterior conclusión, que coincide con la pretensión de la recurrente, la Agencia Española de Protección de Datos.

El tratamiento de datos de carácter personal se define en el artículo 4 del RGPD, como "cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción".

La Sala de instancia apoya su razonamiento acogiendo una interpretación formalista y literal de la definición del tratamiento de datos recogida en el artículo 4 del RGPD, en cuanto que en esa definición no se ha mencionado la solicitud de datos personales puesto que, entre los distintos supuestos que enumera como operaciones que implican un tratamiento de datos, alude, en primer lugar, a la acción de la "recogida" como tratamiento de datos. Por ello, la Sala de instancia ha considerado que el tratamiento de datos y, por tanto, la exigencia del cumplimiento de los principios referidos en el artículo 5 del RGPD solo es posible cuando, efectivamente, se han recogido y obtenido los datos personales solicitados.

Igualmente, el Abogado del Estado, como parte recurrida en esta controversia casacional, muestra su conformidad con el criterio de la sentencia impugnada al señalar en su escrito de oposición que "el que el legislador mencione en primer lugar la recogida no es casual sino la constatación de que el tratamiento de datos comienza con la recogida y que sin una previa recogida no llega a producirse el tratamiento".

Sin embargo, como venimos diciendo, no acogemos la interpretación literal efectuada por la sentencia impugnada.

A este respecto, consideramos que la interpretación literal de las normas que se discuten en esta controversia casacional no se adecua a la voluntad y a la finalidad del legislador. Por tanto, debe realizarse una interpretación sistemática de las normas que permita obtener una conexión lógica-jurídica de la norma en su conjunto de forma global. De tal manera, que, en este caso, para poder obtener una interpretación adecuada de lo que es un tratamiento de datos debemos relacionar la definición contenida en el artículo 4.2 del RGPD, con las obligaciones impuestas al responsable del tratamiento de datos consistentes en respetar los principios relativos al tratamiento regulados en el artículo 5 del RGPD, así como la de adoptar las medidas que permitan la protección de los datos personales desde el diseño y por defecto que se contienen en el artículo 25 del RGPD.

Concretamente, en el apartado primero del citado artículo 25 se regula la protección de los datos personales desde el diseño, que impone al responsable del tratamiento de datos la obligación de aplicar, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos que permita proteger los derechos de los interesados.

Y, en el párrafo segundo, del citado artículo 25 se regula la protección de datos por defecto, que implica que el responsable del tratamiento de datos debe aplicar, asimismo, las medidas técnicas y organizativas apropiadas con el fin de garantizar que, por defecto, solo sean objeto de tratamiento los datos personales necesarios para cada uno de los fines específicos del tratamiento.

En definitiva, una interpretación conjunta y sistemática de los artículos expuestos nos lleva a alcanzar una conclusión contraria a la que ha obtenido la Sala de instancia que no se adecua a la verdadera finalidad de los preceptos expuestos que, como se indica en el Considerando 1 del RGPD, es la protección de las personas físicas en relación con el tratamiento de datos de carácter personal que se configura como un derecho fundamental en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea.

De tal manera que, una protección efectiva de los derechos fundamentales de las personas contenidos tanto en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea -derecho a la protección de los datos de carácter personal que le conciernan-, como en el artículo 18, párrafos 1 y 4, de la Constitución -derecho fundamental a la intimidad personal-, solo será posible si, efectivamente, concluimos que el tratamiento responsable de los datos personales se inicia con la mera solicitud al interesado de la aportación de datos de carácter personal por cuanto que, en ese momento, el responsable del tratamiento de los datos está obligado a examinar si los datos personales, cuya aportación y entrega solicita, cumplen efectivamente los principios relativos al tratamiento de datos mencionados en el artículo 5 del RGPD y, entre ellos, si los datos que se solicitan son adecuados y pertinentes y están limitados a lo necesario en relación con los fines para los que van a ser tratados.

Si se condicionara la exigencia del cumplimiento de esos principios al momento real de la "recogida" de los datos de carácter personal, resultaría difícil la protección de los derechos de los interesados. En definitiva, no existiría una eficaz protección si se aceptara que la autoridad, una vez que tiene en su poder y conoce los datos personales, pudiera, entonces, determinar si esos datos "recogidos" son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que han sido recogidos.

Es decir, una interpretación del tratamiento de datos de carácter personal que dependiera del éxito del intento de acceso a los datos personales generaría una incertidumbre incompatible con el principio de seguridad jurídica y con la protección de los derechos fundamentales de las personas físicas.

Por consiguiente, la mera solicitud de datos personales ya forma parte de una actividad diseñada, planificada y ordenada a la obtención de los datos que es constitutiva de un "tratamiento" en los términos del artículo 4.2 del RGPD y, por tanto, debe cumplir todos los principios relativos al tratamiento de datos expuestos en los artículos 5 y 6 del RGPD. Por ello, la exigencia de los principios de minimización y de protección de los datos personales desde el diseño y por defecto son esenciales cuando el tratamiento de datos implica riesgos significativos para los derechos fundamentales de las personas, lo cual obliga al responsable de ese tratamiento a que aplique medidas técnicas y organizativas para proteger esos derechos desde el momento en que se efectúa la solicitud de datos de carácter personal.

Acogemos, por tanto, la tesis propugnada por la recurrente, la Agencia Española de Protección de Datos, que, en su escrito de interposición del recurso de casación, señala que la regulación del RGPD supuso un refuerzo de las obligaciones y de los derechos relacionados con el tratamiento de datos personales introduciendo para ello "principios como el de "responsabilidad proactiva" o los principios de minimización, privacidad desde el diseño y por defecto, todos ellos de cumplimiento obligado con anterioridad al inicio de cualquier actividad de tratamiento de datos, pues responde precisamente a "que datos se van a recoger", "para que" y "como", lo que se ha de determinar (los fines y los medios), antes de la obtención de los datos de los interesados".

Por otra parte, resaltamos que, en el presente debate casacional, se solicitan datos de carácter personal que afectan a la salud de las personas que están dotados de una protección especial. Precisamente, en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, se otorga una protección especial a la intimidad de la persona en relación con la actividad encaminada a la obtención de información y de documentación clínica, al especificar en el artículo 2, párrafo primero, que: "La dignidad de la persona humana, el respeto a la autonomía de su voluntad y a su intimidad orientaran toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la información y la documentación clínica".

Las anteriores conclusiones coinciden con la doctrina fijada por el Tribunal de Justicia de la Unión Europea en la sentencia dictada en fecha 24 de febrero de 2022, Asunto C-175/20. En dicha sentencia, el TJUE interpreta de manera no restrictiva la definición del tratamiento de datos personales contenida en el artículo 4.2 del RGPD, de tal manera que, la mera solicitud de un dato personal constituye, por sí sola, un tratamiento de datos personales, aunque, finalmente, no se tenga acceso a dichos datos por la negativa del interesado a su entrega efectiva. En este sentido, el TJUE expone que:

"34. En relación con el litigio principal, es notorio que la información que solicita la Administración tributaria letona son datos personales, en el sentido del art. 4, punto 1, del Reglamento 2016/679.

35. En virtud del art. 4, punto 2, de ese mismo Reglamento, la recogida, la consulta, la comunicación por transmisión y cualquier forma de habilitación de acceso a datos personales constituye un "tratamiento" en el sentido de dicho Reglamento. De la redacción de esta disposición, en particular de la expresión "cualquier operación", se desprende que el legislador de la Unión quiso dar un alcance amplio al concepto de "tratamiento". Esta interpretación se ve corroborada por el carácter no exhaustivo, expresado por el vocablo "como", de las operaciones mencionadas en dicha disposición.

(...)

37. Una solicitud en este sentido, por la que la Administración tributaria de un Estado miembro solicita a un operador económico que le comunique y ponga a su disposición datos personales, a lo cual este está obligado en virtud de la normativa nacional de dicho Estado miembro, implica un proceso de "recogida" de tales datos, en el sentido del art. 4, punto 2, del Reglamento 2016/679".

De igual modo, se ha pronunciado el Tribunal de Justicia de la Unión Europea en la sentencia dictada en fecha 5 de octubre de 2023, en el Asunto C-659/22, al señalar que:

"27. Sentado lo anterior, cabe señalar que el articulo 4, punto 2, del RGPD define el concepto de "tratamiento" como "cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no". En una lista no exhaustiva introducida por la palabra "como", esta disposición menciona la consulta y la utilización de datos personales como ejemplos de tratamiento. De la redacción de esta disposición, en particular de la expresión "cualquier operación", se desprende que el legislador de la Unión quiso dar un alcance amplio al concepto de "tratamiento".

28. Esta interpretación amplia de los conceptos de "datos personales" y de "tratamiento" es coherente con el objetivo de garantizar la efectividad del derecho fundamental a la protección de las personas físicas en relación con el tratamiento de datos personales al que se refiere el Considerando 1 del RGPD, que preside la aplicación de dicho Reglamento.

(...)

32. Por tanto, corresponderá al órgano jurisdiccional remitente verificar si el tratamiento introducido por la medida excepcional, por una parte, es conforme con los principios relativos al tratamiento de datos enunciados en el artículo 5 del RGPD y, por otra parte, responde a alguno de los principios relativos a la licitud del tratamiento enumerados en el artículo 6 de dicho Reglamento".

Por consiguiente, la regulación contenida en el RGPD implica que el cumplimiento de los principios relativos al tratamiento de datos debe producirse de forma obligatoria con carácter previo a la recepción de los datos personales solicitados. Y ello porque la mera solicitud de datos personales forma parte de una actividad diseñada, planificada y ordenada a la obtención de los datos que es constitutiva de un tratamiento de datos en los términos del artículo 4.2 del RGPD y, por tanto, debe cumplir los principios relativos al tratamiento de datos contenidos en los artículos 5 y 6 del RGPD.

SEXTO.- Fijación de doctrina jurisprudencial

De conformidad con las consideraciones expuestas en el fundamento de derecho anterior, esta Sala, dando respuesta a la cuestión que presenta interés casacional objetivo para la formación de jurisprudencia, declara que:

La adecuada salvaguarda de los derechos fundamentales de la persona, singularmente el derecho a la protección de datos de carácter personal, reconocido en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, así como el derecho a la intimidad personal, proclamado en el artículo 18, párrafos 1 y 4, de la Constitución española, exige una interpretación amplia y no restrictiva del concepto del tratamiento de datos de carácter personal definido en el artículo 4.2 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE, de lo que se infiere que el responsable del tratamiento de datos de carácter personal quede sujeto al cumplimiento de los principios reguladores del tratamiento de datos de carácter personal, entre ellos, el principio de minimización de datos, contenidos en el artículo 5 del citado Reglamento (UE), desde el mismo momento en que solicita a una persona física la aportación de datos de carácter personal, con independencia de que los mencionados datos lleguen o no a ser efectivamente facilitados y ulteriormente recogidos por el responsable del tratamiento de datos, todo ello con la finalidad de prevenir la generación de riesgos relevantes para los derechos fundamentales de las personas afectadas.

SÉPTIMO.- Resolución del recurso de casación

Teniendo en cuenta los razonamientos jurídicos expuestos en los anteriores fundamentos de derecho, esta Sala acuerda la estimación del recurso de casación interpuesto por la representación procesal de la Agencia Española de Protección de Datos contra la sentencia dictada en fecha 24 de mayo de 2024 por la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.

Entendemos que la Sala de instancia no ha interpretado adecuadamente la definición que del tratamiento de datos se contiene en el artículo 4.2 del RGPD que hemos expuesto como doctrina jurisprudencial en el fundamento de derecho sexto. Ello determina la casación y la nulidad de la citada sentencia.

En aplicación de lo dispuesto en el artículo 93.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, corresponde, entonces, a esta Sala resolver las cuestiones y pretensiones deducidas en el proceso de instancia en el que se impugnaba la resolución dictada en fecha 25 de marzo de 2021 por la Agencia Española de Protección de Datos, que confirmaba en reposición la resolución dictada en fecha 12 de febrero de 2021 por la Directora de la Agencia Española de Protección de Datos, por la cual se impuso a la Secretaria General de Instituciones Penitenciarias una sanción de apercibimiento por la vulneración de los principios relativos al tratamiento de datos personales contenidos en el artículo 5.1.c) del RGPD. Concretamente, la Agencia Española de Protección de Datos impuso la sanción por vulneración del principio de minimización de datos, por cuanto que había solicitado datos personales relacionados con la salud del interesado -diagnóstico médico y tratamiento- que no eran adecuados ni pertinentes y eran excesivos para lograr la finalidad pretendida, como era el control del absentismo laboral por parte del Centro Penitenciario de Lanzarote.

Llegados a este punto, debemos examinar si el Centro Penitenciario de Lanzarote, donde prestaba sus servicios el funcionario Sr. Vidal, ha respetado el principio de minimización de datos personales contenido en el artículo 5.1.c) del RGPD cuando, para el control del absentismo laboral, ha solicitado que aporte el diagnóstico médico y el tratamiento que ocasionó su ausencia al trabajo durante los días 7 a 9 de abril de 2019, así como, la demora en la asistencia al trabajo por haber acudido a una consulta médica el día 10 de mayo de 2019.

Ninguna de las partes pone en duda que el funcionario presentó ante la dirección del centro de trabajo los correspondientes justificantes médicos, que no fueron partes de baja laboral por incapacidad laboral. Así, en el justificante emitido por el médico en fecha 9 de abril de 2019 se señala "indisposición" durante los tres días que no acudió a su puesto de trabajo. Y en el justificante emitido el 10 de mayo de 2019 se refleja su asistencia a una consulta médica.

Sin embargo, a pesar de la presentación de los citados justificantes médicos, el Centro Penitenciario de Lanzarote requirió al funcionario público para que, además, aportase el diagnóstico médico y el tratamiento que justificó su ausencia laboral durante tres días.

Estamos ante una solicitud que afecta a datos de carácter personal, en cuanto que revelan información esencial relativa al estado de la salud de las personas físicas, y, por ello, debe cumplir los principios relativos al tratamiento de datos de carácter personal contenidos en el artículo 5 del RGPD. Y, entre ellos, el principio de minimización de datos que implica que esa concreta solicitud de los datos personales debe respetar el principio de proporcionalidad, en el sentido de que los datos personales que se solicitan deben ser necesarios y pertinentes para el adecuado ejercicio de la potestad pública encomendada al centro penitenciario, en este caso, el control del absentismo laboral y la adecuada gestión del personal.

Es legítimo el control del absentismo laboral y la lucha contra el fraude. Y ese fin legitimo puede amparar que el centro de trabajo solicite al trabajador la aportación de datos personales relacionados con su salud siempre que se acredite que efectivamente esa solicitud es adecuada y pertinente para el control del absentismo laboral y que, además, queda limitada a lo que realmente es necesario en relación con los fines para los que van a ser tratados (artículo 5.1.c) del RGPD) .

Sin embargo, en el caso planteado, el centro de trabajo pudo ejercer las funciones y potestades relacionadas con el control del absentismo laboral con los justificantes médicos aportados por el funcionario, sin que se haya acreditado que, además, fueran necesarios y pertinentes para ese control la obtención de datos personales especialmente protegidos al estar relacionados con la salud del trabajador. Concretamente, el funcionario público aportó a la dirección del centro de trabajo, en el plazo de las 72 horas a contar desde su primer día de ausencia, un justificante médico en el que el profesional que le atendió señaló "indisposición" durante los días 7, 8 y 9 de abril de 2019, que permite justificar el motivo de su inasistencia al trabajo durante tres días por enfermedad que no determinó la necesidad de una baja médica por incapacidad laboral transitoria. Asimismo, aportó un justificante médico en el que se indicaba que el interesado había acudido a una consulta médica durante algunas horas del horario laboral correspondiente al día 10 de mayo de 2019.

En definitiva, entendemos que el centro de trabajo pudo controlar el absentismo laboral con los justificantes médicos emitidos por un profesional en el ejercicio de su profesión médica en los que expone los motivos de salud, expuestos de manera genérica, relacionados con la ausencia al centro de trabajo, que por su corta duración no exigía el reconocimiento de una baja laboral por incapacidad transitoria en el que, mediante códigos, se refiere la enfermedad del trabajador.

Por consiguiente, la solicitud de ese dato personal es innecesaria e impertinente para el control del absentismo laboral que corresponde al centro de trabajo cuando, además, se trata de un dato personal relacionado con la salud que está especialmente protegido, hasta el punto de que, incluso, en los supuestos en los que existe un parte médico de baja laboral, el centro de trabajo tampoco conoce el diagnóstico médico que afecta al trabajador que ha motivado esa baja laboral. Ello es así porque en esos casos, tanto el INSS como MUFACE, únicamente comunican al centro de trabajo el parte médico de baja en el que, expresamente, se ha excluido el dato relativo al diagnóstico médico. Así se indica en el artículo 7.2 del Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros 365 días de su duración y en el artículo 89 del Real Decreto 375/2003, de 28 de marzo, por el que se aprueba el Reglamento General del Mutualismo Administrativo, que consideran que el dato relacionado con la salud debe ser conocido exclusivamente por las entidades encargadas de la gestión de las prestaciones correspondientes derivadas de la incapacidad laboral transitoria, entre las cuales no se incluye al centro de trabajo al que se le comunica la baja laboral a los solos efectos del control del absentismo laboral y, en su caso, a los efectos de la gestión de la vacante en el puesto de trabajo.

Por ello, en el control del absentismo laboral de corta duración no es adecuado, ni pertinente, ni tampoco proporcional para cumplir con los fines del tratamiento de datos que el centro de trabajo pueda conocer el diagnóstico médico y su tratamiento que, como datos personales relacionados con la salud están dotados de una especial confidencialidad respecto de terceros, salvo que el interesado muestre su consentimiento o que se trate de un tratamiento lícito y necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (artículo 6.1, apartados a) y c) del RGPD) . Excepciones que, como hemos señalado, no concurren en el supuesto examinado.

En definitiva, el Centro Penitenciario de Lanzarote ha vulnerado el principio de minimización de datos contenido en el artículo 5.1.c) del RGPD, cuando ha solicitado datos de carácter personal relativos a la salud de un funcionario -como es el diagnóstico médico y su tratamiento-.

Por todo lo expuesto, concluimos que la resolución sancionadora impugnada es conforme con el citado artículo 5.1.c) del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE. Y, en consecuencia, desestimamos el recurso contencioso-administrativo tramitado con el nº 1538/2021 ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.

OCTAVO.- Costas procesales

De conformidad con lo dispuesto en el articulo 93.4 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, no procede imponer a ninguna de las partes las costas procesales causadas en el presente recurso de casación.

En cuanto a las costas procesales causadas en la instancia, esta Sala tampoco impone a ninguna de las partes las costas procesales, pues la controversia planteada suscitaba dudas de derecho suficientes como para considerar improcedente la condena en costas, de lo que es indicativo el distinto parecer manifestado en la sentencia de instancia recurrida en casación y en esta sentencia que resuelve el recurso de casación.