Por: Mario Shai Aguado González | Protección de Datos Personales & Inteligencia Artificial
Existe una creencia extendida entre las empresas: las obligaciones en materia de protección de datos personales comienzan cuando los datos del cliente, del empleado, del proveedor o de cualquier otro titular, están en sus sistemas.
Sin embargo, esa creencia es incorrecta, y una sentencia del Tribunal Supremo de España lo confirma.
La resolución no es de derecho mexicano; no obstante, su razonamiento sí es completamente relevante para cualquier empresa que opere en México y esté sujeto a las obligaciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Esto es así, ya que ambos sistemas jurídicos comparten la misma lógica de fondo: el cumplimiento normativo no es una respuesta al dato personal que se obtiene, sino a una obligación que nace con su solicitud.
¿Qué ocurrió?
El Tribunal Supremo de España (TSE) resolvió en marzo de 2026 un recurso de casación (STS 1590/2026) cuyo origen, parece a primera vista, un asunto menor: un centro penitenciario requirió a uno de sus funcionarios que aportara su diagnóstico médico y el tratamiento prescrito por su médico, con el fin de justificar tres días de ausencia laboral.
El funcionario se negó, invocando su derecho a la intimidad y el centro penitenciario nunca recibió esa información. ¿Resultado para el funcionario? El centro le descontó tres días de sueldo.
Ante esta situación, el funcionario presentó una denuncia ante la Agencia Española de Protección de Datos (AEPD) y esta inició un procedimiento de investigación que culminó con una sanción en contra de la Secretaría General de Instituciones Penitenciarias en modalidad de apercibimiento, por violación al principio de minimización de datos. La Audiencia Nacional anuló la sanción, argumentando que sin recepción efectiva de los datos personales, no puede existir tratamiento. La AEPD interpuso el recurso de casación y el TSE le dio la razón.
¿Cuál es la pregunta jurídica central?
La cuestión resuelta por el TSE genera una relevancia técnica interesante:
¿Puede existir un tratamiento de datos personales aun cuando los datos nunca llegaron al responsable (porque el titular se negó a entregarlos?
La Audiencia Nacional confirmó que no. Su razonamiento fue que el Reglamento General de Protección de Datos (RGPD) define al tratamiento de datos como cualquier operación realizada sobre datos personales, mencionando en primer lugar la “recogida”. Sin recogida de datos, no hay tratamiento, ergo, no hay infracción.
El TSE rechaza este razonamiento por ser insuficiente. El TSE parte de reconocer que la definición de tratamiento del artículo 4.2 del RGPD es deliberadamente amplia. El legislador europeo utilizó la expresión “cualquier operación”, acompañada de una lista no exhaustiva de ejemplos. Esa amplitud no es accidental, refleja la voluntad de dotar al concepto de un alcance extensivo que proteja eficazmente los derechos fundamentales de las personas. No sólo es eso, además de considerar la amplitud de la definición, el TSE consideró dos artículos del RGPD.
Por un lado, el artículo 5 del RGPD establece los principios que rigen el tratamiento, tales como la licitud, finalidad, minimización, exactitud, limitación del plazo y seguridad. Estos principios no se activan con datos ya recibidos; son obligaciones que deben cumplirse desde el momento en que se diseña cualquier actividad orientada a obtener y tratar datos personales.
Por otro lado, el artículo 25 del RGPD regula la privacidad por diseño y por defecto, en específico, las medidas de protección “tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento”. Es decir, antes de que el primer dato sea obtenido.
De tal suerte, la conclusión del TSE es que la solicitud de datos personales ya forma parte de una actividad diseñada y destinada a la obtención de datos personales. Esa actividad es, en sí misma, un tratamiento de datos personales y, en consecuencia, sujeta al cumplimiento de todos los principios que el RGPD, como lo es, la minimización de datos.
¿Por qué el centro penitenciario viola el RGPD?
Una vez concluida esa doctrina, el TSE aplica el principio de minimización de datos a los hechos concretos.
El funcionario había aportado justificantes médicos que acreditaban su ausencia. Esos documentos cumplían la finalidad: controlar el absentismo laboral. La solicitud adicional del diagnóstico médico y su tratamiento no añade nada necesario para esa finalidad. Al contrario, el TSE señaló que incluso en los supuestos de baja laboral por incapacidad temporal, el empleador no recibe el diagnóstico médico, los institutos de salud no comunican nada al centro de trabajo, precisamente porque ese dato es innecesario para gestionar la ausencia de sus trabajadores.
La solicitud era innecesaria, desproporcionada y recaía sobre datos de salud, categoría que el RGPD clasifica como especialmente protegida. La sanción era procedente, aun cuando los datos no hayan sido entregados.
¿Esto nos aplica en México?
La LFPDPPP 2025 comparte tanto la terminología como la lógica estructural del RGPD. Su artículo 2, fracción XIX define el tratamiento como «cualquier operación o conjunto de operaciones… relacionadas con la obtención, uso, registro, organización, conservación…» colocando la obtención en primer lugar, en la misma posición que la «recogida» en el RGPD. Esa coincidencia refleja que ambos sistemas conciben el tratamiento como un proceso que comienza en el momento en que se busca acceder al dato, no cuando este ya obra en poder del responsable.
El artículo 5 de la LFPDPPP consagra el principio de proporcionalidad como uno de los principios rectores del tratamiento, y el artículo 12 lo reitera: el tratamiento «será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad». Ese estándar es funcionalmente equivalente al principio de minimización del artículo 5.1.c) del RGPD, cuya infracción está en el centro de la sentencia española.
El artículo 13 refuerza esa lectura al establecer la responsabilidad del responsable, quien debe adoptar las medidas necesarias para garantizar que el aviso de privacidad sea respetado «en todo momento». Y el artículo 16 exige que el aviso esté disponible a partir del momento en que se recaben los datos, lo que presupone que el responsable ya definió, antes de cualquier solicitud, cuáles datos recabará, con qué finalidad y qué tipo de consentimiento necesita.
Lo que la sentencia STS 1590/2026 formaliza jurisprudencialmente en el contexto europeo, la LFPDPPP ya lo exige de manera expresa en su texto. La diferencia es que en México esta lógica rara vez se articula con la claridad con que el TSE lo hace en esta resolución: el responsable que solicita datos excesivos ya se encuentra en violación del principio de proporcionalidad, con independencia de que el titular entregue o no esa información.
¿Las conclusiones?
La sentencia STS 1590/2026 no crea una obligación nueva. Precisa cuándo comienzan las obligaciones que el marco normativo ya establecía y, como anticipamos, antes de lo que la mayoría de las empresas asume.
Construir ese diseño con rigor jurídico es, precisamente, lo que distingue a una empresa que cumple de una empresa que sólo reacciona cuando ya hay un problema.
