- La STS 278/2026 no reduce la protección de datos, pero sí la sitúa en su contexto correcto: un derecho fundamental que convive con otros intereses legítimos y que exige ponderación, no automatismos
La reciente sentencia núm. 278/2026, de 12 de marzo, del Tribunal Supremo, introduce un matiz importante -y necesario- en el debate sobre la protección de datos personales en el entorno laboral: no todo tratamiento de datos constituye una vulneración, ni el derecho fundamental a la protección de datos es absoluto ni inmune a ponderación.
La sentencia del Tribunal Supremo
El convenio colectivo de aplicación en la empresa estipula que la Dirección debe confeccionar y publicar anualmente en la intranet un escalafón de la plantilla que incluya, entre otros datos, la categoría profesional, la base, el nombre y los apellidos de cada persona trabajadora. En pretendido cumplimiento de esta obligación, la empresa publicó en su intranet el listado, pero ocultó los datos de identidad, sustituyéndolos por un código interno de 12 cifras, alegando la obligatoria aplicación de la normativa de protección de datos y el principio de minimización. Sin embargo, la representación sindical interpuso demanda de conflicto colectivo exigiendo la publicación con los datos completos y nominales.
Punto de partida: ¿El nombre y los apellidos son datos de carácter personal?
El Tribunal parte de una premisa clara: el nombre y apellidos de trabajadores identificados o identificables constituyen datos personales protegidos, en virtud del artículo 4 del Reglamento General de Protección de Datos.
La seudonimización de datos personales
La sentencia también aclara un punto técnico importante: el uso de códigos internos o identificadores que sustituyen la identidad directa del trabajador encaja en el concepto de seudonimización del artículo 4.5 RGPD. Ahora bien, apoyándose en la doctrina del Tribunal de Justicia de la Unión Europea (sentencia de 4 de septiembre de 2025, asunto C-413/23), el Supremo recuerda que la seudonimización no excluye que los datos sigan siendo personales, sino que se trata simplemente de una medida de mitigación de riesgos, no de una categoría distinta de datos. Es decir, no convierte automáticamente el tratamiento en inocuo ni elimina la necesidad de base jurídica, pero sí reduce su impacto.
La clave: la naturaleza de los datos y su impacto
Uno de los ejes centrales de la sentencia es la valoración del tipo de datos tratados (nombre y apellidos, antigüedad en la empresa, fecha de ingreso, antigüedad en la base). El Tribunal subraya que no se trata de categorías especiales de datos, sino de información estrictamente laboral, con un impacto limitado en la esfera personal del trabajador. Aquí introduce una idea relevante: no debe “magnificarse” la trascendencia de estos datos cuando su contenido es ordinario y funcional dentro de la relación laboral.
La legitimación del tratamiento: convenio colectivo e interés legítimo
El tratamiento encuentra su base jurídica en dos elementos fundamentales. Por un lado, se trata de una obligación convencional, ya que el propio convenio colectivo de aplicación obliga a la publicación de los escalafones. Por otro, existe un interés legítimo cualificado, puesto que los propios trabajadores, que compiten en procesos internos (traslados, promociones, etc.) y los representantes legales y sindicales, en su función de control. Este interés no es genérico ni difuso: está directamente vinculado a la correcta aplicación de criterios objetivos dentro de la empresa.
El principio de proporcionalidad: el verdadero filtro
El análisis culmina en la ponderación entre la necesidad del tratamiento (que concurre en este caso, para garantizar transparencia y control) y la proporcionalidad, que también concurre, puesto que los datos son limitados y no sensibles, el acceso está restringido a quienes tienen interés legítimo y permite a los trabajadores prever, organizarse y detectar errores antes de los procesos competitivos.
Un mensaje claro: el derecho a la protección de datos no es absoluto
La sentencia transmite un mensaje contundente frente a interpretaciones maximalistas del derecho a la protección de datos: este derecho fundamental debe ponderarse con otros intereses legítimos, especialmente en el ámbito laboral, donde la transparencia y la igualdad de oportunidades también son valores esenciales. De esta forma, no cualquier difusión de datos personales es ilícita. Lo será solo cuando carezca de base jurídica, sea desproporcionada o afecte de manera relevante a la esfera privada.
Consecuencias prácticas para empresas y profesionales
Este pronunciamiento tiene implicaciones claras:
- Refuerza la seguridad jurídica en el uso de datos laborales ordinarios.
- Valida prácticas habituales como escalafones, listados o rankings internos, si están justificados.
- Subraya la importancia de limitar el acceso a los destinatarios adecuados.
- Evita interpretaciones expansivas del RGPD que paralicen la gestión organizativa.
De esta forma, la STS 278/2026 no reduce la protección de datos, pero sí la sitúa en su contexto correcto: un derecho fundamental que convive con otros intereses legítimos y que exige ponderación, no automatismos. En un momento en que el RGPD a menudo se invoca como barrera absoluta, el Tribunal Supremo recuerda algo esencial: proteger datos no significa impedir la organización eficiente y transparente de las relaciones laborales.
