¿En qué momento comienza legalmente un tratamiento de datos personales?

Una sentencia reciente del Tribunal Supremo [STS 1590/2026] consolida una precisión interpretativa de gran relevancia en la aplicación del Reglamento General de Protección de Datos (RGPD): el concepto de “tratamiento de datos personales” no se limita a las actuaciones posteriores a la obtención material de los datos, sino que incluye las actuaciones previas dirigidas a su obtención, en este caso, a su solicitud.

El caso tiene su origen en un procedimiento sancionador en el que se cuestionaba la petición, por parte de una administración pública, de datos relativos a la salud de un empleado. En concreto, se requirió a la persona que aportara diagnóstico y tratamiento médico para justificar determinadas ausencias. Ante su negativa a facilitar esa información, la controversia se centró en determinar si podía hablarse de “tratamiento de datos” cuando los datos fueron requeridos, si bien nunca llegaron a ser efectivamente entregados por dicho empleado.

Frente al criterio de la Audiencia Nacional —que entendía que sólo podía considerarse la existencia de tratamiento en el caso de recogida efectiva—, el Tribunal Supremo adopta una interpretación distinta.

En primer lugar, el Tribunal parte de la definición amplia de tratamiento contenida en el artículo 4 del RGPD y rechaza una lectura estrictamente literal. Como recuerda la sentencia, el concepto de tratamiento abarca “cualquier operación o conjunto de operaciones realizadas sobre datos personales”, lo que evidencia la voluntad del legislador europeo de otorgarle un alcance extensivo y no limitada a un acceso efectivo o material.

El elemento decisivo de la argumentación no reside —únicamente— en esa definición, sino en su conexión con el resto del sistema normativo. En particular, el Tribunal subraya que no es posible interpretar el concepto de tratamiento de forma aislada, sino en relación con los principios del artículo 5 y con el principio de protección de datos desde el diseño y por defecto del artículo 25.

En este punto, la sentencia introduce una idea clave:

Las obligaciones del responsable del tratamiento no nacen con la recepción de los datos, sino con anterioridad, en el momento en que se decide qué datos se van a solicitar, para qué finalidad y por qué medios.

Este razonamiento se apoya directamente en el contenido del artículo 25 del RGPD, que exige aplicar medidas de protección “tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento”.

A partir de esta base, el Tribunal Supremo formula su conclusión principal:

Ya existe “tratamiento de datos” en el momento en el que la Administración solicita a una persona física la entrega de datos personales, aunque, al final, éstos no se entreguen por el interesado.

Esta afirmación tiene consecuencias jurídicas inmediatas. Si la solicitud ya forma parte del tratamiento, entonces los principios del artículo 5 del RGPD y, en particular, el principio de minimización, resultan exigibles también en ese mismo momento. Ello supone, como lógico corolario, que las actuaciones de un responsable del tratamiento previas a la “recepción” del dato están también sujetas al cumplimiento de los principios del RGPD, y entre ellos, como razona el TS, respecto del principio de protección de datos desde el diseño.

En este sentido, la sentencia es especialmente clara al señalar que el responsable debe examinar, con carácter previo a la obtención de los datos, si los datos solicitados son adecuados, pertinentes y limitados a lo necesario en relación con la finalidad perseguida.

El Tribunal refuerza esta interpretación mediante un argumento de protección efectiva de derechos fundamentales. A su juicio, condicionar la aplicación de los principios al momento en que los datos ya han sido recogidos vaciaría en gran medida su eficacia, ya que, si la valoración de adecuación y proporcionalidad se realizara una vez que la Administración ya dispone de los datos, la protección del interesado resultaría claramente insuficiente.

De hecho, la sentencia advierte expresamente que una interpretación contraria generaría una situación de incertidumbre incompatible con la seguridad jurídica y con la garantía del derecho fundamental a la protección de datos.

En consecuencia, el Tribunal concluye que la solicitud de datos personales no es un acto neutro ni preliminar, sino que forma parte de una actividad “diseñada, planificada y ordenada a la obtención de datos”, lo que la integra plenamente en el concepto de tratamiento.

Esta interpretación resulta coherente, además, con la jurisprudencia del Tribunal de Justicia de la Unión Europea, que ha insistido en el carácter amplio del concepto de tratamiento.

En definitiva, la sentencia consolida un mensaje claro para los responsables del tratamiento, como que no basta con cumplir el RGPD una vez que los datos han sido recabados: la exigencia de cumplimiento es previa, debe comenzar antes, esto es, en el mismo momento en que se diseña el tratamiento, comprendiendo las finalidades de este y los datos que se pretende recabar. De este modo, podemos concluir que la solicitud de datos forma parte del concepto de tratamiento, aunque sin excluir —no lo hace la sentencia— que deba cumplir el artículo 5 del RGPD previo a tal actuación, como sería el caso del momento en el que el responsable diseña el tratamiento.