Tribunal Supremo, Sala de lo Contencioso-administrativo, Sentencia 1039/2022, 19 Jul. Rec. 1765/2021 (LA LEY 164218/2022)
Llega al Supremo como cuestión de interés casacional determinar si es necesario ejercitar el derecho a la limitación del tratamiento de datos personales cuando el interesado considera que se ha hecho un tratamiento excesivo de sus datos o si, por el contrario, es posible iniciar un expediente sancionador por infracción del principio de minimización de datos.
La cuestión surge porque en un informe realizado en el servicio de urgencias se revelan varios datos personales especialmente protegidos y que son totalmente irrelevantes desde el punto de vista clínico/médico respecto al motivo para acudir a urgencias y el tratamiento recibido (radiografía y vendaje en un dedo de un pie); concretamente, se reveló la condición de transexual de la paciente con una terminología que a su entender vulneraba su derecho a la protección de datos personales.
Se da la circunstancia de que estos datos de la historia clínica y los datos que se hicieron constar en el informe de alta de urgencias fueron comunicados única y exclusivamente a la persona titular de dichos datos y no han sido revelados por Osakidetxa-Servicio Vasco de Salud a ninguna otra persona, por lo que el Supremo considera que no existió infracción del deber de confidencialidad ni una vulneración del deber de guardar secreto sobre los datos de carácter personal.
Esta puntualización es relevante de cara al procedimiento a seguir porque el procedimiento sancionador se siguió, desde el acuerdo de inicio, para la investigación de una conducta que podría ser constitutiva de una vulneración del principio de minimización de datos y la resolución sancionadora no hace alusión alguna a la vulneración de los deberes de confidencialidad o de guardar secreto sobre los datos de carácter personal, sino que apreció una infracción muy grave por infracción del citado principio de minimización, al realizarse un tratamiento de datos consistente en la consignación en el informe de alta emitido por el servicio de urgencias de un gran número de datos de salud de la denunciante, sin observancia de este principio.
Dispone el artículo 64.2 de la LOPD que cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD y en la LOPD, como es ahora el caso, se debe iniciar el procedimiento mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de una reclamación, por lo que el inicio del procedimiento sancionador en materia de protección de datos no se condiciona al requisito previo del ejercicio del derecho a la limitación del tratamiento, ni al ejercicio de ninguno otro de los derechos legalmente reconocidos.
El ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición, es una vía distinta e independiente de la interposición de reclamaciones ante la Agencia Española de Protección de Datos o ante la Agencia Vasca de Protección de Datos, y por ello puede el interesado ejercitar sus derechos simultánea o alternativamente y formular una reclamación o denuncia ante la Autoridad de Protección de Datos competente por actuaciones que estime contrarias a la normativa de protección de datos, pero no existe exigencia legal alguna para que la reclamación o denuncia sea precedida necesariamente del ejercicio de limitación del tratamiento.
El Supremo declara como doctrina casacional que cuando el responsable de tratamiento de datos personales realiza un tratamiento que el interesado considera excesivo, cabe la denuncia ante la agencia de protección de datos competente y, en su caso, el inicio por ésta de un expediente sancionador por la infracción del principio de minimización de datos, sin que sea exigible como requisito de procedibilidad que el interesado ejerza el derecho a la limitación del tratamiento.
Ni el RGPD, ni la LOPDP, ni el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LA LEY 13934/2007), contienen norma alguna que establezca el requisito de la exigibilidad del ejercicio del derecho a la limitación de tratamiento del artículo 18.1.d) del RGPD para iniciar un procedimiento sancionador por la infracción muy grave descrita en el artículo 72.1.a) de la LOPDP, por tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del RGPD (LA LEY 6637/2016).