Qué decidió realmente el tribunal

El litigio detrás de la sentencia fue bastante corriente. Una empresa de Baja Sajonia demandó a un antiguo empleado al que acusaba de revender equipo de la compañía a través de una cuenta privada de eBay, y construyó su caso sobre datos extraídos de esa cuenta sin autorización. Ese acceso constituía en sí mismo una infracción del RGPD. El tribunal remitente, el LAG Niedersachsen, planteó al TJUE una pregunta más afilada de lo que las partes esperaban: infringe el propio tribunal la normativa de protección de datos por el simple hecho de examinar pruebas que se recabaron de forma ilícita.

El TJUE respondió que no. En su sentencia de 18 de junio de 2026 (C-484/24), rechazó una prohibición general de usar datos personales obtenidos ilícitamente y sostuvo que un tribunal puede basarse en tales datos cuando son necesarios y relevantes para la decisión. Los jueces se apoyaron en el propio deber del tribunal de establecer los hechos y en el derecho a un juicio justo del artículo 47 de la Carta, exigiendo a la vez que se respete la minimización de datos y que se valore la anonimización antes de la divulgación. Se trata de si la prueba entra en un expediente civil, no de la culpabilidad penal.

Por qué esto invierte una suposición cómoda

Muchos propietarios y sus asesores han operado con una regla práctica tácita: si la otra parte obtuvo su material de forma indebida, puede dejarse fuera, de modo que una falta de protección de datos era un escudo fiable. La sentencia debilita ese escudo. Ahora se dice al tribunal que pondere los hechos equilibrando el interés de un juicio justo frente a la vulneración de la privacidad, en lugar de descartar la prueba por principio, de modo que el documento incómodo, el mensaje recuperado o el extracto de la cuenta pueden quedar ante el juez con independencia de cómo se obtuvieron.

Eso corta en ambos sentidos, y el segundo filo es el que hay que vigilar. La misma lógica que permite a un demandante usar una prueba de origen imperfecto permite a un oponente usar la suya. Una investigación interna que se excede, un registro de monitorización recabado sin una base adecuada, o la bandeja de entrada de un antiguo socio a la que se accedió con demasiada libertad no se vuelven inofensivos por haberse recopilado mal. Todavía pueden acabar en el expediente en su contra, mientras la infracción subyacente sigue expuesta por separado ante las autoridades de control. Trate esto como información periodística y no como asesoramiento jurídico, y confirme la sentencia y su alcance para sus propios hechos.

Qué considerar antes del próximo litigio

La respuesta práctica no es perseguir vacíos legales, sino asumir que la mayoría de los datos relevantes acabarán siendo admisibles, sea quien sea quien los tenga y sea como sea que se recabaron. Eso reformula la higiene de la prueba como un riesgo de negocio y no como una nota al pie de cumplimiento. Conviene revisar cómo se llevan a cabo sus investigaciones internas, cómo se accede a los datos de empleados y contrapartes durante un litigio, y dónde sus propias prácticas de recopilación podrían convertirse en pruebas en manos de la otra parte.

Igual de importante es mapear, antes de que el litigio esté en el horizonte, qué datos existen sobre sus operaciones, dónde residen y quién podría obtenerlos. El alcance de esta sentencia todavía se está asentando y su aplicación variará según el Estado miembro y el tipo de procedimiento, por lo que cualquier cuestión concreta corresponde a su propio abogado sobre sus propios hechos. El punto para quien decide es más simple: la vieja apuesta de que los datos malos desaparecen ya no es segura.