El Tribunal de Justicia (Sala Cuarta) se ha pronunciado sobre la interpretación de los artículos 12, apartado 5, 15, apartado 1, y 82, apartado 1, del Reglamento (UE) 2016/679 (RGPD) en relación con el carácter potencialmente abusivo de una primera solicitud de acceso a datos personales, el alcance del derecho a indemnización cuando la infracción no deriva de un tratamiento de datos como tal, y los requisitos para considerar la pérdida de control sobre los datos como daño inmaterial indemnizable.
Hechos. En marzo de 2023, TC, persona física residente en Austria, se suscribió al boletín informativo de Brillen Rottler, una óptica familiar con sede en Arnsberg (Alemania), facilitando datos personales a través del formulario de alta en su sitio web. Trece días después, TC remitió a la empresa una solicitud de acceso con arreglo al artículo 15 del RGPD. Brillen Rottler denegó la solicitud dentro del plazo legal de un mes, calificándola de excesiva en el sentido del artículo 12, apartado 5, del RGPD. TC mantuvo su solicitud y añadió una pretensión indemnizatoria de 1.000 euros al amparo del artículo 82 del RGPD. Brillen Rottler interpuso demanda ante el Amtsgericht Arnsberg solicitando la declaración de que TC carecía de derecho a indemnización alguna. TC formuló reconvención solicitando la condena de Brillen Rottler al pago de al menos 1.000 euros por daños inmateriales. La empresa alegó que de reportajes, artículos de blog y boletines de abogados se desprendía que TC presentaba de modo sistemático solicitudes de acceso con el único propósito de provocar deliberadamente infracciones y obtener indemnizaciones, siguiendo un modus operandi consistente en suscribirse a un boletín, presentar una solicitud de acceso y reclamar una indemnización.
Cuestiones prejudiciales primera a tercera y séptima (examinadas conjuntamente). El Tribunal declara que el artículo 12, apartado 5, del RGPD debe interpretarse en el sentido de que una primera solicitud de acceso presentada por el interesado ante el responsable del tratamiento con arreglo al artículo 15 puede considerarse “excesiva” a efectos de dicha disposición. El Tribunal parte de que el adjetivo “excesivo” designa algo que excede de la medida ordinaria o razonable y se refiere a características tanto cualitativas como cuantitativas, de modo que su alcance no se limita a la repetición de solicitudes. El carácter repetitivo se menciona en la disposición solo a título indicativo, por lo que la calificación de una solicitud como excesiva no exige necesariamente que se inscriba en un contexto de presentación de varias solicitudes por el mismo interesado. El Tribunal recuerda que el artículo 12, apartado 5, constituye una expresión del principio general del Derecho de la Unión según el cual los justiciables no pueden invocar el Derecho de la Unión de forma abusiva o fraudulenta.
No obstante, el Tribunal precisa que, al tratarse de una excepción al derecho de acceso, debe interpretarse de manera estricta, y los criterios para calificar una primera solicitud como excesiva deben ser rigurosos. La carga de demostrar el carácter excesivo recae sobre el responsable del tratamiento, quien debe acreditar, a la vista de todas las circunstancias pertinentes del caso concreto, que la solicitud no fue presentada con el propósito de conocer el tratamiento de los datos y verificar su licitud para obtener posteriormente una protección de los derechos que confiere el RGPD, sino con una intención abusiva, como la creación artificial de los requisitos exigidos para la obtención de un beneficio resultante del Reglamento.
Para apreciar la existencia de abuso de derecho, deben concurrir un elemento objetivo — que, pese al cumplimiento formal de las condiciones de la normativa, no se haya alcanzado el objetivo perseguido por esta — y un elemento subjetivo — la voluntad del interesado de obtener un beneficio mediante la creación artificiosa de las condiciones exigidas para su obtención. Entre las circunstancias a valorar, el Tribunal señala el hecho de que el interesado haya facilitado datos personales sin estar obligado a ello, la finalidad de la comunicación de esos datos, el tiempo transcurrido entre esta y la solicitud de acceso, y el comportamiento de la persona. La información pública que ponga de manifiesto la presentación sistemática de solicitudes de acceso seguidas de solicitudes de indemnización ante diferentes responsables del tratamiento puede tomarse en consideración, siempre que esté corroborada por otros elementos pertinentes.
Cuestiones prejudiciales quinta y sexta (examinadas conjuntamente). El Tribunal declara que el artículo 82, apartado 1, del RGPD confiere al interesado un derecho a indemnización por los daños y perjuicios resultantes de una vulneración del derecho de acceso previsto en el artículo 15, apartado 1, del RGPD. El Tribunal constata que el tenor del artículo 82, apartado 1, no contiene ninguna referencia al “tratamiento”, de modo que el derecho a indemnización no puede limitarse a los daños resultantes de un tratamiento de datos personales como tal. Supeditar dicho derecho a la existencia de daños derivados de un tratamiento tendría como efecto excluir del ámbito de aplicación del artículo 82 las infracciones de los derechos del capítulo III del RGPD — como los derechos de acceso, rectificación, supresión, limitación del tratamiento y portabilidad —, cuya vulneración no consiste en un tratamiento efectivo sino en la negativa a dar curso a la solicitud del interesado, lo que menoscabaría el efecto útil de la disposición.
Cuarta cuestión prejudicial. No se pronuncia, al quedar resuelta por la respuesta a las cuestiones quinta y sexta.
Octava cuestión prejudicial. El Tribunal declara que los daños y perjuicios inmateriales sufridos por el interesado en el sentido del artículo 82, apartado 1, del RGPD incluyen la pérdida de control sobre sus datos personales o su incertidumbre en cuanto a si esos datos han sido objeto de tratamiento. No obstante, recuerda que no toda infracción del RGPD genera por sí sola un derecho a indemnización: el interesado debe acreditar la existencia de daños efectivamente sufridos, la infracción del RGPD y la relación de causalidad entre ambos, siendo estos tres requisitos acumulativos. La mera alegación de un temor generado por la pérdida de control no basta; el órgano jurisdiccional debe comprobar que dicho temor puede considerarse fundado a la vista de las circunstancias específicas del caso.
El Tribunal añade que el comportamiento de la persona afectada puede romper la relación de causalidad entre la infracción y el daño cuando resulte ser la causa determinante del perjuicio. En consecuencia, no puede concederse indemnización cuando la pérdida de control o la incertidumbre han sido causadas por la decisión de la persona de someter sus datos al responsable del tratamiento con el fin de crear artificialmente las condiciones requeridas para la aplicación del artículo 82, apartado 1, del RGPD.
STJUE de 19 de marzo de 2026, C-526/24, Brillen Rottler GmbH & Co. KG c. TC, Sala Cuarta (edición provisional).