El concepto de “tratamiento de datos personales” es una de las piezas clave del Reglamento General de Protección de Datos (RGPD), pero su alcance no siempre es evidente. Tradicionalmente se ha entendido que el tratamiento comienza cuando los datos ya han sido recogidos. Sin embargo, una reciente interpretación jurídica ha reforzado una idea mucho más amplia: el tratamiento puede empezar incluso antes de que los datos existan físicamente.
El concepto amplio de tratamiento
El RGPD define el tratamiento de datos personales como cualquier operación realizada sobre datos personales, ya sea de forma automatizada o no. Esto incluye acciones como la recogida, organización, consulta, utilización, comunicación o destrucción de datos.
Esta definición ya apunta a un enfoque extensivo, en el que no solo importa qué se hace con los datos, sino también el contexto en el que se solicitan y gestionan.
El momento de la solicitud
Según la interpretación recogida en el blog de la AEPD, el Tribunal Supremo ha reforzado recientemente un criterio relevante: el tratamiento de datos no comienza únicamente cuando los datos se reciben, sino también cuando se solicita su obtención.
Es decir, cuando una organización decide qué datos va a pedir, con qué finalidad y bajo qué medios, ya está iniciando un tratamiento en el sentido del RGPD.
Esto implica que incluso si el ciudadano no llega a entregar los datos, la simple solicitud puede considerarse parte del tratamiento.
Implicaciones legales de este enfoque
Este enfoque tiene consecuencias importantes para empresas y administraciones:
- Las obligaciones del RGPD no comienzan al recibir los datos, sino desde la fase de diseño del tratamiento.
- Deben aplicarse principios como la minimización de datos o la limitación de la finalidad desde el inicio.
- La evaluación de qué datos son realmente necesarios debe realizarse antes de solicitarlos.
- El diseño del tratamiento debe incorporar garantías de privacidad desde el principio (principio de “protección de datos desde el diseño”).
- Protección reforzada del ciudadano
Esta interpretación tiene como objetivo reforzar la protección de los derechos fundamentales. Si las obligaciones solo se activaran una vez recogidos los datos, gran parte de las garantías del RGPD podrían perder eficacia práctica.
Por ello, se entiende que la protección debe comenzar en el mismo momento en que se planifica la recogida de datos, evitando solicitudes excesivas o innecesarias.
El tratamiento de datos personales no empieza cuando los datos ya están almacenados en un sistema, sino mucho antes: en la fase de diseño y, especialmente, en el momento en que se decide solicitarlos.
Este enfoque amplía la responsabilidad de las organizaciones y refuerza la idea central del RGPD: la protección de datos no es un trámite posterior, sino un principio que debe integrarse desde el inicio de cualquier actividad que implique información personal.
Preguntas frecuentes sobre el inicio del tratamiento de datos personales
¿Es necesario que existan los datos para que haya tratamiento?
No. El RGPD considera tratamiento cualquier operación relacionada con datos personales, incluida su solicitud o definición previa.
¿Qué implica pedir datos personales a un usuario?
Implica ya un tratamiento, ya que se está determinando qué datos se recogen, con qué finalidad y bajo qué condiciones.
¿Qué obligaciones existen desde el inicio del tratamiento?
Desde la fase de diseño deben aplicarse principios como la minimización de datos, la limitación de la finalidad y la protección de datos desde el diseño.
¿Qué es el principio de minimización de datos?
Significa que solo deben solicitarse los datos estrictamente necesarios para la finalidad prevista, evitando pedir información excesiva.
¿Se puede incumplir el RGPD aunque aún no se hayan recogido datos?
Sí. Si la solicitud o diseño del sistema vulnera principios del RGPD, puede considerarse un incumplimiento.
¿Por qué es importante este enfoque?
Porque refuerza la protección del usuario desde el primer momento y evita prácticas abusivas en la recogida de información personal.
El tratamiento de datos personales es el eje del Reglamento de Protección de Datos (RGPD). Nuestra consultora ayuda a empresas, profesionales y entidades a adecuar sus procesos para cumplir con la normativa vigente. Puedes consultarnos y nuestro equipo de especialistas te guiarán a través de un análisis inicial.
Fuente: AEPD
