CGPJ: Protección de datos en el ámbito judicial


Manuel Castilleja Toscano     20/02/2026


Guía de protección de datos en el ámbito judicial del CGPJ

Esta guía, publicada por el Consejo General del Poder Judicial (CGPJ), establece las directrices fundamentales para el tratamiento de información personal dentro del sistema de justicia español. El documento detalla el marco legal vigente, incluyendo el RGPD y leyes nacionales (LO 3/2018 y LO 7/2021), aplicables tanto a funciones jurisdiccionales como administrativas.

En la guía se definen roles clave, como los responsables y encargados del tratamiento, y se enfatizan los principios esenciales como la minimización de datos y la confidencialidad. Además, ofrece protocolos estrictos para gestionar brechas de seguridad, el ejercicio de derechos ciudadanos y el uso de tecnologías como la inteligencia artificial. El objetivo principal es fomentar una cultura de protección de derechos fundamentales entre jueces, letrados y personal al servicio de la Administración de Justicia.

Los puntos esenciales que se abordan en la Guía son:

1. Destinatarios

El contenido de esta Guía práctica se dirige a:

  • Jueces, juezas, magistrados y magistradas en el ejercicio de la potestad jurisdiccional.
  • Letrados y letradas de la Administración de Justicia en el ámbito de sus funciones.
  • Funcionarios, funcionarias y personal laboral al servicio de los órganos judiciales.
  • Personal interino, en prácticas o cualquier otra persona que, por razón de su actividad, tenga acceso a datos personales en el ámbito judicial.

2. Roles y responsabilidades

  • Responsable del Tratamiento: es el órgano judicial competente (jueces y magistrados) quien decide sobre los fines y medios del tratamiento en el proceso.

Encargado del Tratamiento: la Administración prestacional (Ministerio de Justicia o Comunidades Autónomas) actúa como encargado, debiendo garantizar la seguridad técnica.

  • Delegado de Protección de Datos (DPD): aunque las administraciones tienen DPD, los tribunales no están obligados a tenerlo cuando actúan en ejercicio de su función judicial, para preservar su independencia (art. 37.1.a RGPD).

3. Principios del RGPD

El tratamiento de datos debe regirse por los principios del art. 5 RGPD, que actúan como límites y garantías:

  • Licitud, Lealtad y Transparencia (art. 5.1.a RGPD):
    • Legitimación del tratamiento: se basa en el cumplimiento de una misión de interés público o el ejercicio de poderes públicos (art. 6.1.e RGPD).
    • Levantamiento de la prohibición del tratamiento de datos de categoría especial: el tratamiento de datos de categoría especial (salud, biométricos, ideología, etc.) está permitido cuando es necesario para la función judicial o para la formulación, el ejercicio o la defensa de reclamaciones (art. 9.2.f RGPD). No obstante, se debe extremar la precaución y justificar debidamente su inclusión.
  • Limitación de la finalidad (art. 5.1.b RGPD): los datos recabados para un proceso judicial no pueden utilizarse para fines distintos (por ejemplo, administrativos o ajenos al caso) sin habilitación legal.
  • Minimización de datos (art. 5.1.c RGPD): se deben tratar únicamente los datos adecuados y estrictamente necesarios para el procedimiento. Esto implica evitar la inclusión de datos superfluos en resoluciones y proceder a la seudonimización en documentos accesibles a terceros o publicados, especialmente en casos sensibles (menores, violencia de género, etc.).
  • Exactitud (art. 5.1.d RGPD): los datos deben ser veraces y actualizados.
  • Conservación (art. 5.1.e RGPD): una vez finalizado el procedimiento, se debe proceder al archivo, bloqueo o expurgo según la normativa, evitando la conservación indefinida injustificada.
  • Integridad y confidencialidad (art. 5.1.f RGPD): es obligatorio adoptar medidas para evitar accesos no autorizados o pérdidas de información. El deber de secreto se extiende a todo el personal y profesionales intervinientes, subsistiendo incluso tras el cese de funciones.

4. Ejercicio de Derechos

Los ciudadanos tienen derecho a:

  • Ser informados sobre el tratamiento de sus datos, y debe cumplirse este deber de información por parte del responsable, al menos, en la primera notificación realizada a las partes.
  • Acceder, rectificar y/o suprimir sus datos personales, así como a oponerse o limitar el tratamiento de los mismos.
  • Presentar una reclamación ante la autoridad de control si consideran que el tratamiento no es conforme al RGPD.

Sin embargo, en el ámbito judicial:

  • Las solicitudes de ejercicio de derechos se tramitarán conforme a las leyes procesales aplicables al caso.
  • Se puede denegar el acceso si las diligencias han sido declaradas secretas o reservadas.

5. Brechas de seguridad

Una brecha de seguridad (pérdida, destrucción o acceso indebido a datos) debe ser gestionada proactivamente:

  • Existe la obligación de notificar la brecha a la autoridad de control cuando puede suponer un riesgo para los afectados incluso informarles si ese riesgo es alto.
  • La Dirección de Supervisión y Control de Protección de Datos del CGPJ facilita un formulario para notificar las brechas de seguridad.
  • Es fundamental documentar el incidente y adoptar medidas para mitigar daños y evitar que se vuelva a producir.

6. Recomendaciones sobre medidas de Seguridad

La guía enfatiza en medidas para el personal, entre otras y como esenciales:

  • Control de accesos: no facilitar contraseñas, bloquear el equipo al ausentarse y restringir el acceso a expedientes solo a quien intervenga legítimamente.
  • Información telefónica: no facilitar datos personales ni contenido de resoluciones por teléfono, limitándose a información general sobre el estado del proceso.
  • Entrega de documentación: exigir identificación (DNI) para entregas presenciales y evitar enviar copias de actuaciones o datos sensibles por correo electrónico, ya que no garantiza la confidencialidad.
  • Herramientas de inteligencia artificial:
    • No utilizar sistemas de inteligencia artificial que no hayan sido autorizados por las Administraciones prestacionales o el propio CGPJ.
    • Para más información consultar la Instrucción 2/2026 del CGPJ sobre la utilización de sistemas de inteligencia artificial en el ejercicio de la actividad jurisdiccional.