Puntos clave
- Pedir datos ya es tratarlos. El Tribunal Supremo confirma que la solicitud de datos personales forma parte del tratamiento, aunque los datos nunca lleguen a entregarse.
- La minimización se aplica antes de la recogida. Las empresas deben evaluar si cada dato solicitado es necesario y proporcionado antes de pedirlo.
- El diseño del proceso de tratamiento es una obligación, no una recomendación. El artículo 25 del RGPD exige que las garantías de privacidad se integren desde la fase de planificación.
- Esto afecta a formularios, procesos de alta y registros: cualquier punto donde se pidan datos debe pasar antes este filtro.
- Una CMP bien configurada forma parte del diseño desde el origen, al controlar qué tecnologías se activan y qué datos se recogen antes de que el usuario interactúe.
El tratamiento de datos personales, según la interpretación del Tribunal Supremo en la STS 1590/2026, comienza en el momento en que se planifica y solicita la información, no cuando se recibe. Muchas empresas asumen que sus obligaciones en materia de protección de datos empiezan cuando reciben la información del usuario. Al rellenar un formulario, por ejemplo, se almacenan los datos y es entonces cuando la empresa debe asegurarse de cumplir la normativa. Pero una sentencia reciente del Tribunal Supremo español desmonta esa lógica: el tratamiento comienza antes, en el mismo momento en que se decide qué datos se van a pedir, para qué y por qué medios.
La sentencia STS 1590/2026 no es solo un matiz teórico. Tiene consecuencias directas para cualquier organización que recoja datos a través de formularios web, procesos de alta (onboardings), procesos de RRHH o aplicaciones móviles y lo que plantea conecta con uno de los principios más exigentes del RGPD: la protección desde el diseño (privacy by design).
Qué ha dicho exactamente el Tribunal Supremo
El caso tiene su origen en el ámbito laboral: una administración pública pidió a un empleado que aportara información sobre su diagnóstico y tratamiento médico para justificar determinadas ausencias. El empleado se negó a facilitar esos datos.
Esta situación derivó en una pregunta clave: si los datos nunca se entregaron, ¿existió tratamiento?
Para el Tribunal Supremo la respuesta es sí. Según la sentencia, la solicitud de datos personales no es un acto neutro ni preliminar: forma parte de una actividad «diseñada, planificada y ordenada a la obtención de datos», lo que la integra plenamente en el concepto de tratamiento del RGPD.
Es decir, las obligaciones del responsable no nacen al recibir los datos, sino en el momento en que se decide qué información se va a solicitar.
Qué significa «tratamiento» según el RGPD
El artículo 4.2 del RGPD define el tratamiento de datos personales como «cualquier operación o conjunto de operaciones realizadas sobre datos personales». La lista incluye recogida, registro, organización, consulta, comunicación, supresión… entre otras.
Hasta ahora, la interpretación general era que el tratamiento comenzaba en el momento en el que estas operaciones se ponían en marcha con la primera acción material sobre los datos, es decir, cuando el dato ya estaba «en manos» de la empresa u organización. La sentencia del Tribunal Supremo amplía esa lectura: el tratamiento incluye también las actuaciones previas dirigidas a obtener esos datos.
El Tribunal refuerza esta interpretación con un argumento de protección efectiva. Si las garantías del RGPD se activasen una vez recogidos los datos, la normativa perdería eficacia ya que la protección llegaría tarde.
Qué principios del RGPD refuerzan la sentencia
La sentencia se apoya directamente en tres principios del Reglamento que afectan a cualquier empresa:
Minimización (artículo 5.1.c)
Solo se deben solicitar los datos que sean adecuados, pertinentes y limitados a lo necesario para la finalidad perseguida. Esta evaluación debe ocurrir antes de pedirlos. Si un formulario de contacto pide fecha de nacimiento, número de teléfono y dirección postal para responder una consulta, hay un problema de minimización desde el diseño.
Y no es una cuestión teórica: según la memoria anual de la AEPD 2024, la Agencia recibió 18.885 reclamaciones por vulneración de la privacidad y abrió 30 procedimientos sancionadores solo por brechas de seguridad. Las multas más elevadas superaron los 3 millones de euros, y entre las infracciones más frecuentes figuran precisamente la falta de privacidad desde el diseño (art. 25 RGPD) y el incumplimiento de medidas de seguridad. El principio de minimización está en el centro de la actividad sancionadora.
En 2024, la AEPD abrió 30 procedimientos sancionadores solo por brechas de seguridad, con multas que superaron los 3 millones de euros. La falta de privacidad desde el diseño fue una de las infracciones más frecuentes.
Protección desde el diseño (artículo 25)
El responsable debe asegurarse de incorporar garantías de privacidad ya desde la fase de planificación del tratamiento. Esto incluye decidir qué datos se van a solicitar, por qué canal, con qué finalidad y durante cuánto tiempo se conservarán.
Limitación de finalidad (artículo 5.1.b)
Cada dato solicitado debe responder a un propósito concreto, definido y legítimo. Pedir información «por si acaso» o «porque siempre se ha hecho así» no es una base válida.
Qué implica esto para tu empresa
La sentencia no afecta solo a las administraciones públicas. La interpretación del RGPD que recoge es aplicable a cualquier responsable del tratamiento, sea público o privado. Estas son las áreas donde conviene actuar:
Formularios web y flujos de registro
Revisa cada formulario de tu sitio: contacto, registro, checkout, suscripción a newsletter. ¿Pides más datos de los necesarios? ¿Hay campos obligatorios que no tienen una finalidad clara? Cada campo debe justificarse. Si no puedes explicar por qué necesitas un dato concreto, no deberías pedirlo.
Para asegurarte de que tu sitio cumple con las exigencias normativas en este punto, consulta nuestra guía sobre textos legales para web.
Procesos de RRHH y onboarding
El ámbito laboral es especialmente crucial en este contexto. Los departamentos de recursos humanos manejan datos especialmente sensibles: salud, discapacidad, situación familiar. Cada solicitud de información a un empleado o candidato debe pasar el filtro de minimización antes de formularse.
Cookies, rastreadores y tecnologías de seguimiento
El mismo principio se aplica al entorno digital. Antes de activar cualquier cookie o rastreador en tu web, deberías haber evaluado si es necesario, qué datos recoge y con qué finalidad. Un escáner de cookies permite detectar todas las tecnologías activas en tu sitio y verificar que lo declarado en tus textos legales coincide con la realidad.
Documentación y responsabilidad proactiva
El RGPD exige que el responsable pueda demostrar que cumple la normativa. Eso incluye documentar por qué se solicita cada dato, cuál es su base legal y cómo se ha evaluado su necesidad. Si mañana recibes una inspección de la AEPD, deberías poder justificar cada campo de cada formulario.
El papel de la gestión del consentimiento en el diseño del tratamiento
Cuando el Tribunal Supremo habla de protección desde el diseño, habla de integrar las garantías de privacidad antes de que se produzca la primera interacción con el usuario. Esto es exactamente lo que hace una plataforma de gestión del consentimiento (CMP) bien configurada. Usercentrics CMP ofrece más que un banner de cookies. Es una pieza clave en el diseño de toda tu estrategia de tratamiento y protección de datos:
Escanea y clasifica las cookies y rastreadores antes de que se activen.
Bloquea las tecnologías no esenciales hasta que el usuario toma una decisión.
Documenta cada señal de forma auditable, lo que permite demostrar cumplimiento ante una inspección.
Se integra con herramientas comoGoogle Consent Mode para que el ecosistema publicitario respete las preferencias del usuario sin perder capacidad de medición.
En la práctica, esto significa que el diseño del tratamiento no es solo una cuestión jurídica: es una decisión técnica que afecta a cómo se construye el sitio web, qué scripts se cargan y cuándo.
¿Y si tu empresa opera fuera de España?
Aunque procede del Tribunal Supremo español, la sentencia interpreta el RGPD, una norma europea directamente aplicable en todos los Estados miembros. El criterio que establece (que el tratamiento de datos comienza desde la propia planificación y solicitud de la información) se alinea con el enfoque amplio del concepto de «tratamiento» desarrollado por el Tribunal de Justicia de la Unión Europea y con los principios de responsabilidad proactiva y protección de datos desde el diseño promovidos por el Comité Europeo de Protección de Datos (EDPB).
Por eso, cualquier organización que opere en la UE o trate datos de personas en la Unión Europea debería tener en cuenta esta interpretación al diseñar formularios, procesos de captación o solicitudes de información. Y, en sectores sujetos además a la Ley de Mercados Digitales (DMA), las exigencias de transparencia y diseño responsable pueden reforzar aún más estas obligaciones regulatorias.
Conclusión: integra la privacidad desde el diseño
Esta sentencia refuerza algo que el RGPD ya establece pero que muchas organizaciones pasan por alto: la protección de datos no es un proceso que se activa después de recoger información. Es un ejercicio de diseño previo.
Cada formulario, cada campo, cada cookie y cada rastreador debe superar un análisis de necesidad antes de desplegarse. Y ese análisis debe quedar documentado.
Para las empresas que ya trabajan con herramientas de gestión del consentimiento y escaneo de cookies, esto no supone un cambio radical: es una confirmación de que van por buen camino. Para las que todavía no, es un buen momento para empezar.
Si también te interesa la privacidad de datos, únete ahora a nuestra creciente comunidad. Suscríbete a la newsletter de Usercentrics y recibe las últimas novedades directamente en tu bandeja de entrada.
