El TJUE aclara que el RGPD no impone una exclusión automática de las pruebas que contienen datos personales obtenidos ilícitamente.
No te pierdas nuestros contenidos
SuscribirmeEl pasado 18 de junio de 2026, el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó sentencia en el asunto C-484/24, NTH Haustechnik GmbH contra EM, en el que analiza una cuestión especialmente relevante para los litigios laborales y, en general, para cualquier procedimiento judicial en el que una parte aporte documentos que contienen datos personales obtenidos de forma discutible o incluso ilícita. La resolución interpreta, entre otros, los artículos 5, 6, 13 y 17 del Reglamento General de Protección de Datos (“RGPD”) y su relación con los derechos fundamentales a la protección de datos, a la vida privada y a la tutela judicial efectiva.
Antecedentes del caso
El litigio tiene su origen en Alemania, en el marco de una reclamación formulada por una empresa dedicada a instalaciones de calefacción y aire acondicionado contra una antigua empleada. La compañía reclamaba una indemnización por los daños supuestamente derivados de la venta no autorizada de bienes de la empresa a través de eBay. Según la empresa, esas ventas habrían generado un perjuicio económico relevante; la trabajadora, por su parte, sostenía que se trataba de bienes defectuosos, obsoletos o sin valor para la empresa, que le habrían sido entregados gratuitamente.
La cuestión problemática surgía del modo en que la empresa había obtenido la información sobre esas ventas. El tribunal remitente indicaba que la empresa accedió a la cuenta privada de eBay de la trabajadora utilizando su usuario y contraseña. La sentencia recoge distintas versiones sobre cómo se habrían obtenido esas credenciales: desde la revisión del historial de navegación de un ordenador utilizado por la trabajadora hasta la consulta de un archivo familiar almacenado en el servidor de la empresa, e incluso la posible obtención de una nueva tarjeta SIM vinculada al teléfono de la trabajadora para modificar la contraseña de acceso a la plataforma.
En este contexto, el órgano judicial alemán planteó varias cuestiones prejudiciales al TJUE. En esencia, preguntaba si un tribunal nacional puede utilizar, en el marco de un procedimiento judicial, datos personales que una parte ha obtenido o conservado de forma contraria al RGPD; si el artículo 17.3.e) del RGPD –que permite no suprimir datos cuando sean necesarios para la formulación, ejercicio o defensa de reclamaciones– puede actuar como base autónoma de licitud; y qué papel juegan los principios de minimización, limitación del plazo de conservación, transparencia y protección de los datos de terceros.
La sentencia del TJUE
La primera precisión relevante del TJUE es que el artículo 17.3.e) del RGPD no constituye una base jurídica autónoma para el tratamiento. Es decir, la excepción al derecho de supresión cuando el tratamiento sea necesario para formular, ejercer o defender reclamaciones no sustituye a las bases jurídicas del artículo 6.1 del RGPD. Por tanto, quien trate datos personales debe seguir identificando una base de licitud adecuada, sin poder apoyarse únicamente en la existencia de un litigio o de una posible reclamación.
Sin embargo, el tribunal distingue entre el tratamiento previo realizado por la parte que obtuvo los datos y el tratamiento posterior realizado por el órgano judicial al examinar las pruebas. Para el TJUE, el RGPD no contiene una prohibición general y absoluta que impida a una autoridad pública, como un tribunal, tener en cuenta datos personales que fueron objeto de un tratamiento anterior ilícito por parte de quien los aporta al procedimiento. Esta conclusión es especialmente relevante, porque evita convertir el RGPD en una regla automática de exclusión probatoria.
La razón de fondo se encuentra en el derecho a la tutela judicial efectiva y a un proceso equitativo, reconocido en el artículo 47 de la Carta de Derechos Fundamentales de la Unión Europea. Según el TJUE, cuando un tribunal trata datos personales contenidos en pruebas aportadas por las partes, ese tratamiento puede ser necesario para cumplir una obligación legal del propio órgano judicial: decidir sobre la admisibilidad de la prueba y, en su caso, tomarla en consideración para resolver el litigio. Esa obligación persigue un objetivo de interés público, vinculado al correcto funcionamiento de la justicia y al derecho a un proceso justo.
Ahora bien, la sentencia no valida sin más cualquier uso de datos personales obtenidos ilícitamente. El TJUE recuerda que el principio de minimización del artículo 5.1.c) del RGPD sigue siendo aplicable. Esto significa que los datos tratados por el tribunal deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines procesales perseguidos. En particular, una vez que los documentos se consideren admisibles, el tribunal debe examinar, antes de incorporarlos al expediente o divulgarlos a las partes o a terceros, si todos los datos personales contenidos en ellos son necesarios o si procede adoptar medidas como la anonimización total o parcial.
El TJUE también aclara que el incumplimiento de las obligaciones de información del artículo 13 del RGPD por parte de quien recopiló los datos no impide automáticamente al tribunal utilizarlos en el ejercicio de su función jurisdiccional. Del mismo modo, el órgano judicial debe respetar el RGPD cuando trate datos de personas que no son parte en el procedimiento, pero el Derecho de la Unión no exige que una parte pueda invocar, por sí misma, una infracción del RGPD que perjudique únicamente a terceros.
Un equilibrio entre protección de datos y tutela judicial efectiva
La sentencia introduce un equilibrio relevante. Por un lado, el TJUE evita que cualquier infracción previa del RGPD convierta automáticamente una prueba en inutilizable. Por otro, deja claro que la posible utilización procesal de esos datos no borra la ilicitud del tratamiento inicial ni neutraliza las responsabilidades que puedan derivarse de él.
Esta distinción es esencial para las empresas. El hecho de que un tribunal pueda llegar a valorar una prueba que contiene datos personales obtenidos irregularmente no significa que el empleador, el investigador privado, el proveedor tecnológico o cualquier otra parte que haya recopilado esos datos quede exonerado de cumplir el RGPD. La obtención inicial de la información deberá seguir contando con una base jurídica válida, respetar los principios de minimización y transparencia, y ajustarse a las normas laborales, procesales y de protección de derechos fundamentales aplicables.
La sentencia es especialmente relevante en el ámbito laboral, donde es frecuente que los procedimientos disciplinarios o indemnizatorios se apoyen en evidencias digitales: correos electrónicos, historiales de navegación, registros de acceso, capturas de plataformas, datos de dispositivos corporativos o información procedente de herramientas de monitorización. En estos supuestos, el empleador deberá acreditar no solo la relevancia de la prueba, sino también que el modo de obtención fue proporcional, transparente y coherente con las políticas internas previamente comunicadas.
Implicaciones prácticas para las organizaciones
Desde una perspectiva práctica, la sentencia refuerza la necesidad de diseñar protocolos de investigación interna que sean sólidos desde el inicio. Las organizaciones no deberían confiar en que una prueba será admitida posteriormente por un tribunal para justificar accesos amplios, indiscriminados o carentes de base jurídica. Al contrario, a pesar de la utilidad procesal de la prueba, la empresa podría incurrir en infracción de protección de datos, y con consecuencias sancionadoras o indemnizatorias.
En particular, conviene revisar las políticas de uso de dispositivos corporativos, sistemas de información, herramientas de monitorización y acceso a cuentas o plataformas utilizadas por empleados. Estas políticas deben explicar con claridad qué usos están permitidos, qué controles pueden realizarse, en qué circunstancias, con qué alcance y qué garantías se aplicarán. También debe limitarse el acceso a la información a las personas estrictamente necesarias y documentarse la cadena de custodia de las evidencias digitales.
La sentencia también obliga a prestar atención a los datos de terceros. En un litigio laboral, una prueba digital puede incluir información de clientes, proveedores, familiares, compradores en plataformas en línea o compañeros de trabajo. Aunque esos terceros no formen parte del procedimiento, el tribunal debe respetar el RGPD cuando trate sus datos, y las partes deberían anticipar esa exigencia mediante versiones anonimizadas, extractos parciales o documentos depurados cuando ello no afecte al derecho de defensa.
En definitiva, el TJUE no consagra una regla de exclusión automática de las pruebas obtenidas con infracción del RGPD, pero tampoco ofrece una vía libre para investigaciones empresariales invasivas. La sentencia sitúa el foco en dos planos distintos: la licitud del tratamiento inicial realizado por la parte que obtiene la prueba y la licitud del tratamiento judicial posterior. Para las organizaciones, la lección es clara: las evidencias digitales deben obtenerse desde el inicio con una estrategia jurídica y técnica respetuosa con el RGPD, porque su eventual admisión en juicio no elimina los riesgos derivados de una obtención irregular.
Ramon Baradat, con la colaboración de Gabriela De Dios
No te pierdas nuestros contenidos
Suscribirme