El Tribunal Supremo ha estimado el recurso de casación interpuesto por la Agencia Española de Protección de Datos (AEPD) frente a las pretensiones de la Secretaría General de Instituciones Penitenciarias. Ello, reconociendo que el tratamiento de datos se produce desde la solicitud de los mismos, y no desde la recepción por parte de la institución.
Una indisposición médica de un trabajador de penitenciarías ha llegado ante el Tribunal Supremo. Ello, debido a una insólita petición por parte del centro en el que trabajaba: justificar, no sólo los días de ausencia, sino también la razón exacta de su baja, diagnóstico, y tratamiento.
Carlos Caraduje, funcionario de instituciones penitenciarias en el Centro Penitenciario de Lanzarote, no asistía durante tres días, en abril de 2019, a su puesto de trabajo.
Una ausencia que explicaba el trabajador, presentando un justificante médico de «indisposición».
Sin embargo, ante este escrito, la directora del centro requería a Vidal «aportar el diagnóstico y el tratamiento médico referente a las ausencias laborales». Algo que rechazaba el trabajador, alegando que estos datos pertenecen a su intimidad personal.
Una falta de aporte de datos que llevaba al Centro a deducir de la nómina de Vidal los días de ausencia.
Decisión del centro penitenciario que llegaba ante la AEPD que, en junio de 2020, sancionaba a la Secretaría General de Instituciones Penitenciarias por infracción de los principios relativos al tratamiento de datos.
Un apercibimiento de la AEPD que Instituciones Penitenciarias llevaba a los tribunales. En concreto, ante la sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Tribunal que estimaba, en su sentencia de 24 de mayo de 2024, las pretensiones de Instituciones Penitenciarias contra la AEPD. Ello, al entender que no existía quebrantamiento de la protección de datos personales por parte de la institución.
Caso que, en recurso de casación, llegaba ante el Tribunal Supremo.
Solicitar los datos ya afecta a su protección, según el TS
En concreto, el caso llegaba ante la sala de lo Contencioso-Administrativo, compuesta por los magistrados José Manuel Bandrés Sánchez-Cruzat (presidente), Eduardo Calvo Rojas, Diego Córdoba Castroverde, José Luis Gil Ibáñez, Berta María Santillán Pedrosa (ponente), Juan Pedro Quintana Carretero y Margarita Beladiez Rojo.
Magistrados ante los que la AEPD alegaba que la sentencia de la AN es «contraria a la doctrina fijada por el TJUE».
«El TJUE considera que la mera solicitud de datos personales, destinada al posterior registro, consulta o utilización de los mismos, constituye un tratamiento de datos personales sujeto a las exigencias del RGPD», sostenía la Agencia ante el alto tribunal.
Algo a lo que se oponía el Abogado del Estado, en representación de las instituciones penitenciarias.
«El tratamiento de datos precisa ineludiblemente la previa obtención del dato personal, de tal modo que no existe tratamiento si el dato no llega a incorporarse al ámbito de actuación», sostenía el Abogado del Estado, en la misma posición defendida por la Audiencia Nacional.
Una valoración muy distinta a la realizada por el Tribunal Supremo.
«La definición de «Tratamiento de datos» del Reglamento General de Protección de Datos [RGPD] permite concluir que ya existe tratamiento en el momento en el que la Administración solicita a una persona física la entrega de datos«, defiende el alto tribunal.
Ello, explicando que «si se condicionara la exigencia del cumplimiento en el momento real de la «recogida» de los datos de carácter personal, resultaría difícil la protección de los derechos de los interesados».
Así, en el caso de este funcionario, establece el TS que se trata de «una solicitud que afecta a datos de carácter personal, en cuanto que revelan información esencial relativa al estado de salud, y por ello, debe cumplir los principios relativos al artículo 5 del RGPD».
Especialmente, el de minimización de datos y respeto por el principio de proporcionalidad.
«Entendemos que el centro de trabajo pudo controlar el absentismo laboral con los justificantes médicos emitidos», expone el Supremo.
Ello, sin necesidad de exigir conocer el tratamiento en concreto, algo que es una solicitud«innecesaria e impertinente».
Algo que lleva al TS a entender que «el Centro Penitenciario de Lanzarote ha vulnerado el principio de minimización de datos del RGPD» con la solicitud de datos del diagnóstico médico y su tratamiento.
Y por tanto, estima el recurso de casación, anulando la sentencia de la AN, y confirmando la sanción de apercibimiento de la AEPD a la Secretaría General de Instituciones Penitenciarias. Sin imposición de costas.
