Jurisprudencia RGPD: Lecciones de los Tribunales en la Práctica – Julio 2025

Sanjiv Sharma
En esta página

1. Introducción

La jurisprudencia RGPD desempeña un papel fundamental para entender cómo se aplica el Reglamento en la práctica. Entender el RGPD no consiste únicamente en leer la ley: también implica ver cómo se aplica en situaciones reales. En esta serie continua, “RGPD en la práctica: Lecciones de los tribunales”, analizo decisiones judiciales clave de toda Europa que influyen en cómo se interpreta y aplica el RGPD.

Cada publicación destaca un caso concreto, las cuestiones legales que planteó, la decisión del tribunal y las lecciones prácticas que podemos extraer, tanto si eres delegado de protección de datos, asesor jurídico u organización preocupada por la privacidad.

2. Comprendiendo el Derecho de Acceso del RGPD: Lecciones desde la Jurisprudencia RGPD sobre Autoridades Tributarias

En esta sección analizamos una sentencia relevante sobre cómo las personas pueden hacer valer su derecho de acceso frente a autoridades públicas, como oficinas tributarias.

Antecedentes: ¿Qué ocurrió?

Una persona solicitó acceso a sus datos personales a una oficina tributaria en virtud del Artículo 15 del RGPD. Aunque la entidad proporcionó parte de la información, se negó a entregar ciertos documentos relacionados con actuaciones de ejecución. La persona insistió, pero recibió una nueva negativa.

El individuo acudió a los tribunales para que se ordenara a la autoridad entregar toda la información. Sin embargo, el tribunal rechazó la demanda porque fue presentada fuera de plazo y mediante un procedimiento incorrecto.

Cuestiones legales clave

  • ¿Cuál es la vía adecuada para hacer cumplir el derecho de acceso frente a una autoridad pública?
  • ¿Existe un plazo para presentar una reclamación judicial?
  • ¿Se aplican los procedimientos judiciales nacionales a las reclamaciones basadas en el RGPD?
  • ¿Debe presentarse una nueva solicitud antes de acudir a los tribunales?

Lo que decidió el tribunal

  • Si una autoridad pública se niega a proporcionar datos en virtud del Art. 15 RGPD, la persona debe interponer una acción de obligación específica.
  • Existe un plazo de un año desde la notificación de la negativa. Si se supera, la demanda es inadmisible.
  • Este plazo respeta el derecho de la UE: no hace imposible ni excesivamente difícil ejercer el derecho.
  • Antes de acudir a los tribunales, suele ser necesario presentar una nueva solicitud formal, ya que el tribunal normalmente no admite demandas sin un requerimiento reciente.

En resumen: no puede esperarse indefinidamente ni hacer peticiones repetitivas sin seguir los procedimientos y plazos legales.

Por qué es importante

Este caso demuestra la interacción entre los derechos del RGPD y los procedimientos judiciales nacionales. Aunque el RGPD garantiza el derecho a acceder a los datos personales, también deben respetarse los plazos y requisitos procesales.

Para hacer valer correctamente este derecho:

  • Presenta la solicitud por escrito y de forma clara.
  • Si te la niegan, actúa con rapidez y ten en cuenta que existe un límite legal.
  • Busca asesoramiento jurídico si es necesario, pero no dejes pasar el plazo.

Reflexión final

Ejercer los derechos del RGPD no consiste solo en hacer una solicitud, sino en comprender también el proceso legal que la acompaña. Este caso recuerda que conocer las reglas procesales es tan importante como conocer los derechos materiales del RGPD.

Referencias:
BFH, Sentencia de 06.05.2025 – IX R 2/23
BFH, Sentencia de 06.05.2025 – IX R 2/23, openJur 2025, 14587
https://openjur.de/u/2525245.html

3. Recordar no recordar: una parte esencial del cumplimiento del RGPD

Cuando alguien presenta una solicitud de supresión u oposición bajo el RGPD, muchas empresas creen que deben borrar absolutamente todo —incluida la propia solicitud—. Pero esto puede generar una violación del RGPD.

El problema

Si eliminas por completo los datos personales y también el registro de la solicitud, corres el riesgo de volver a recopilar esos datos en el futuro sin querer —lo que ya ocurrió en un caso real donde una empresa, creyéndose cumplidora, volvió a recopilar datos que previamente había borrado—.

La Autoridad de Protección de Datos dictaminó que se trataba de un tratamiento ilícito.

La solución: mantener una lista de supresión

Para evitar volver a procesar datos suprimidos:

  • Mantén un registro mínimo de la solicitud.
  • Esta lista se denomina lista de supresión o do-not-contact list.
  • Conserva solo lo estrictamente necesario (por ejemplo, un email cifrado/hasheado).
  • Úsala únicamente para evitar contactos futuros.

¿No es eso una infracción del RGPD?

No. El RGPD permite conservar datos mínimos si:

  • Existe interés legítimo, como evitar futuros tratamientos.
  • Es necesario para cumplir obligaciones legales.
  • Se respetan la minimización y la limitación de la finalidad.

Mejor práctica

  • Registra la solicitud de forma segura.
  • Aplica lógica de bloqueo para impedir el tratamiento futuro.
  • Evita los “borrados totales” que eliminan todo rastro de la solicitud.

Este caso demuestra cómo la jurisprudencia RGPD aclara que, para cumplir correctamente con las solicitudes de supresión, no basta eliminar datos: también es necesario evitar su futura recolección indebida.

4. Derecho de Acceso del RGPD: ¿Qué Información Temporal Deben Proporcionar los Bancos? Lecciones de un Tribunal Supremo Finlandés

Una cuestión específica del RGPD llegó recientemente a los tribunales: ¿qué nivel de detalle temporal deben proporcionar los bancos cuando un interesado solicita acceso a sus datos, especialmente en relación con los registros de accesos a su información?

Antecedentes

Un cliente pidió al banco información sobre cuándo exactamente se accedió a sus datos. Los registros incluían fechas y horas precisas, pero el banco solo facilitó las fechas, alegando que el RGPD no exigía la hora exacta.

La pregunta clave:
¿Debe el banco proporcionar la hora exacta del acceso?

Contexto jurídico

El Artículo 15(1) RGPD otorga el derecho a acceder a los datos y a información relacionada, como los propósitos y momentos del tratamiento.

El TJUE ya dictaminó (C-579/21) que el interesado tiene derecho a conocer fechas y fines del tratamiento.

Lo que decidió el Tribunal Supremo Finlandés

  • El interesado tiene derecho a conocer las fechas de acceso.
  • No tiene derecho a conocer la hora exacta (como “14:34”).
  • Las fechas son suficientes para evaluar la licitud del tratamiento.
  • La hora exacta no añade un valor significativo para el ejercicio de derechos.

Por tanto, no es obligatorio revelar detalles temporales excesivamente precisos.

Por qué es importante

  • Aclara los límites del derecho de acceso.
  • Reduce riesgos de revelar información sensible del sistema.
  • Evita una carga excesiva para las organizaciones.
  • Mantiene el equilibrio entre transparencia y seguridad.

Conclusión práctica

Los bancos deben proporcionar fechas y fines, pero no necesariamente horas exactas. Esta interpretación judicial se integra en la jurisprudencia RGPD que busca equilibrar transparencia, derechos del interesado y seguridad operativa de las entidades financieras.

Referencias:
KHO 2025:51, ECLI:FI:KHO:2025:51
CJEU C-579/21
Artículos 12(1), 15(1), 30(4), 58(2)(c) RGPD

5. WhatsApp, Facebook y RGPD: Multa de 420.000 € a un Empleador por Usar Mensajes Privados de un Empleado

Autostrade per l’Italia S.p.A. fue sancionada con 420.000 € por el Garante italiano por usar mensajes privados de Facebook, WhatsApp y Messenger para iniciar procedimientos disciplinarios.

Qué ocurrió

La empresa:

  • Usó publicaciones privadas de Facebook,
  • Accedió a conversaciones de Messenger y WhatsApp,
  • Y empleó ese material para justificar sanciones.

Alegó “interés legítimo”.

Conclusiones del Garante

  • Violación de los principios de licitud, minimización y limitación de finalidad.
  • No existía base legal para procesar los mensajes.
  • Los mensajes están protegidos por el derecho a la comunicación privada.
  • Conducta negligente, agravada por sanciones previas.

Medidas impuestas:

  • Procesamiento declarado ilegal.
  • Multa de 420.000 €.
  • Publicación obligatoria de la decisión.

Lecciones clave para empleadores

  1. Privado no significa público, aunque alguien comparta capturas.
  2. Publicaciones solo para “amigos” no son públicas según el RGPD.
  3. El “interés legítimo” exige una evaluación seria.
  4. Las investigaciones laborales deben respetar estrictos principios de proporcionalidad.
  5. Reincidencia = sanciones más graves.

Qué deben hacer las empresas

  • Revisar los procedimientos disciplinarios.
  • Realizar pruebas de interés legítimo.
  • Limitar el acceso a chats privados.
  • Involucrar al DPO.
  • Formar al personal de RRHH.

Referencias:
RGPD Arts. 5, 6, 83
Código de Privacidad italiano
ECHR Art. 8
Decisión del Garante (Autostrade per l’Italia)

6. AEPD multa a ALVEA con 21.000 € por exponer datos de clientes mediante URLs inseguras

Antecedentes

Un cliente recibió un enlace a una factura en PDF. Al modificar el parámetro de ID en la URL, podía acceder a facturas de otros clientes, sin autenticación.

Tras no recibir respuesta de ALVEA, el usuario denunció ante la AEPD.

Preguntas legales

  • ¿Se procesaron los datos respetando el principio de confidencialidad?
  • ¿Existían medidas técnicas y organizativas adecuadas?
  • ¿Cumplió la empresa el principio de Privacidad por Diseño?

Qué falló

  • Sin controles de acceso: URLs predecibles y accesibles.
  • Sin evaluación de riesgos.
  • Sin respuesta adecuada al aviso del cliente.
  • Correcciones reactivas, no preventivas.

Decisión de la AEPD

Violación del Art. 5.1.f RGPD.

A. Sanción

  • Multa inicial: 35.000 €
  • Multa final con reducciones: 21.000 €

B. Medidas correctoras

  • Reparar sistemas de comunicación.
  • Evaluación del DPO de los controles.
  • Informe de cumplimiento en 6 meses.

Por qué importa

  • Los IDOR (referencias inseguras en URLs) son una causa recurrente de fugas.
  • La seguridad no es opcional, incluso en sistemas pequeños.
  • Las correcciones deben ser proactivas.
  • La AEPD exige privacidad “by design”.

Cómo debería haber actuado ALVEA

1. Privacidad desde el Diseño

  • Autenticación obligatoria.
  • Control de accesos basado en roles.

2. Medidas técnicas

  • URLs tokenizadas o temporales.
  • Registros de auditoría.
  • Limitación de peticiones sospechosas.

3. Medidas organizativas

  • DPIAs periódicos.
  • Protocolos de respuesta a incidentes.
  • Revisión del DPO.
  • Formación del personal técnico.

La decisión de la AEPD refuerza la jurisprudencia RGPD relacionada con la confidencialidad y el diseño seguro de sistemas que gestionan datos personales.

Artículos relacionados
ROPA (Registro de Actividades de Tratamiento): qué es y cómo diseñarlo para que realmente funcione Microsoft sancionada pro cookies: lecciones de cumplimiento RGPD para pymes 5 errores RGPD técnicos que veo cada semana en webs españolas Clínicas pequeñas y centros médicos: accesos internos mal controlados Agenda RGPD 2025: congresos y jornadas clave para empresas y DPOs