Alcance de la protección de datos en la solicitud del diagnóstico y tratamiento médico para el control del absentismo

Actualidad. 26 de mayo a 1 de junio de 2026

Alcance de la protección de datos en la solicitud del diagnóstico y tratamiento médico para el control del absentismo
La mera solicitud de datos personales supone ya una actividad de tratamiento. Desde ese momento, el empleador, como responsable, queda sujeto a los principios de la normativa de protección de datos, en especial, al principio de minimización, y ello, aunque el trabajador no llegue a facilitar los datos requeridos. Por otra parte, la solicitud del diagnóstico y tratamiento médico al trabajador vulnera el principio de minimización cuando se han entregado los justificantes médicos oportunos. MS nº 1731, 1732MCT nº 8530, 8830MEP nº 2617, 1377
4La controversia se centra en si el tratamiento de datos personales comienza cuando el responsable recibe materialmente el dato, o desde que lo solicita para una finalidad determinada.En el caso en cuestión, el centro penitenciario requiere a un funcionario que aporte el diagnóstico y tratamiento médico para justificar varias ausencias breves al trabajo. El funcionario ya ha entregado los justificantes médicos oportunos, pero se niega a cumplir con el requerimiento por entender que pertenece a su intimidad. Como consecuencia, el trabajador sufre una deducción en nómina de los días de ausencia al no haber atendido al requerimiento. La AEPD inicia procedimiento sancionador y concluye con un apercibimiento a Instituciones Penitenciarias por infracción del principio de minimización, al solicitar datos relativos a la salud. Desde una interpretación sistemática del RGPD, conectando la definición amplia de tratamiento, con los principios de finalidad, minimización y licitud, se concluye que el responsable ha de valorar, antes de la obtención, si los datos que pretende recabar son adecuados, pertinentes y limitados a lo necesario, y si existe base jurídica bastante para pedirlos. Además, la protección de datos desde el diseño y por defecto exige que el responsable configure anticipadamente sus medios y procedimientos para que solo se solicite la información imprescindible. Condicionar el control de minimización al momento posterior a la obtención real del dato genera incertidumbre incompatible con la seguridad jurídica y debilita la tutela de los derechos fundamentales en juego. En esta misma línea, la jurisprudencia europea enfatiza el alcance amplio del concepto de tratamiento e incluye operaciones de recogida y habilitación de acceso, de manera que una solicitud dirigida a obtener datos personales se inserta en un proceso de recogida y activa el control (TJUE 24-2-22, asunto C-175/20EDJ 2022/508833; TJUE 5-10-23, asunto C-659/22EDJ 2023/694509).Por otra parte, el diagnóstico y el tratamiento son datos relativos a la salud, dotados de especial protección. Su acceso no queda justificado por la sola invocación del control del absentismo, aunque esa finalidad sea legítima. La legitimidad del fin no elimina la exigencia de necesidad concreta y proporcionalidad en la clase de datos recabados.Así pues, los justificantes médicos bastan para justificar la ausencia o la demora al puesto, sin necesidad de conocer el cuadro clínico concreto ni la medicación prescrita. Incluso en los procesos de IT, el centro de trabajo no accede al diagnóstico médico del trabajador, dato que queda excluido de la comunicación y reservado a las entidades gestoras competentes. Además, tampoco existe consentimiento del afectado ni se identifica una obligación legal que imponga recabar esa información sanitaria.Por todo ello, se fija un doble criterio:1. El responsable queda sometido a los principios del RGPD desde el mismo momento en que solicita a una persona física la aportación de datos personales, aunque estos no lleguen a facilitarse (RGPD art.4.2, 5 y 25). 2. En el control del absentismo laboral de corta duración, la petición del diagnóstico y tratamiento vulnera el principio de minimización cuando la ausencia ya está respaldada por justificantes médicos suficientes, porque se trata de datos de salud innecesarios, impertinentes y excesivos para esa finalidad (RGPD art.5.1.c).TS cont-adm 26-3-26, EDJ 557667Rec 6649/2024