El TJUE avala denegar solicitudes abusivas de acceso a datos personales

El Tribunal de Justicia de la Unión Europea, en su sentencia n.º C-526/24, de 19 de marzo de 2026, ECLI:EU:C:2026:216, resuelve una cuestión prejudicial sobre el alcance del derecho de acceso del artículo 15 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD), la posibilidad de rechazar solicitudes por su carácter excesivo con arreglo al artículo 12.5 y el derecho a indemnización del artículo 82.

La relevancia del fallo radica en que el Tribunal aclara que incluso una primera solicitud de acceso puede llegar a considerarse excesiva y, por tanto, ser rechazada, si el responsable del tratamiento demuestra, a la vista de todas las circunstancias del caso, que fue presentada con intención abusiva y no para conocer el tratamiento de los datos y verificar su licitud.

Antecedentes del litigio

El litigio parte de la suscripción de una persona física a un boletín informativo de una empresa alemana, mediante la introducción de sus datos personales en el formulario habilitado en la web. Trece días después, esa persona ejercitó una solicitud de acceso al amparo del artículo 15 del RGPD.

La empresa denegó la solicitud dentro del plazo legal al entender que era excesiva en el sentido del artículo 12.5 del RGPD. Posteriormente, el interesado mantuvo su petición y añadió una reclamación de indemnización de 1.000 euros por daños y perjuicios inmateriales. El órgano remitente preguntó al TJUE, entre otras cuestiones, si una primera solicitud puede ser excesiva y si la vulneración del derecho de acceso puede generar por sí sola derecho a indemnización.

Cuándo puede ser excesiva una primera solicitud de acceso

El Tribunal parte de que el artículo 15 del RGPD garantiza al interesado el acceso a sus datos personales para conocer el tratamiento y verificar su licitud. También recuerda que el artículo 12.5 permite al responsable del tratamiento cobrar un canon razonable o negarse a actuar cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente por su carácter repetitivo.

Sin embargo, el TJUE subraya que el carácter repetitivo es solo un indicio, no un requisito imprescindible. Por ello, no puede excluirse que una primera solicitud sea excesiva. Eso sí, al tratarse de una excepción al derecho de acceso, su interpretación debe ser estricta y corresponde al responsable del tratamiento probar de forma inequívoca ese carácter abusivo.

Según la sentencia, la clave está en acreditar que, aunque formalmente se cumplan los requisitos del RGPD, la solicitud no se presentó para conocer el tratamiento ni verificar su licitud, sino para crear artificialmente las condiciones que permitan reclamar después una indemnización.

Para esa valoración deben examinarse todas las circunstancias del caso, entre ellas el hecho de que el interesado facilitara los datos sin estar obligado a ello, la finalidad de esa comunicación, el tiempo transcurrido entre la aportación de los datos y la solicitud de acceso y su comportamiento. El TJUE añade que también puede tomarse en consideración la información públicamente accesible que revele la presentación de varias solicitudes similares seguidas de reclamaciones indemnizatorias frente a distintos responsables del tratamiento.

En este sentido concluye el Tribunal que «una primera solicitud de acceso a sus datos personales presentada por el interesado ante el responsable del tratamiento con arreglo al artículo 15 de dicho Reglamento puede considerarse "excesiva" a efectos de ese artículo 12, apartado 5, cuando ese responsable del tratamiento demuestre, a la vista de todas las circunstancias pertinentes del caso concreto, que, a pesar de que formalmente se cumplen los requisitos establecidos en esas disposiciones, dicha solicitud no fue presentada por el interesado con el propósito de conocer el tratamiento de esos datos y verificar su licitud, para poder obtener posteriormente una protección de los derechos que le confiere dicho Reglamento, sino con una intención abusiva, como la creación artificial de los requisitos exigidos para la obtención de un beneficio resultante de ese mismo Reglamento. El hecho de que, según información accesible al público, el interesado haya presentado varias solicitudes de acceso a sus datos personales, seguidas de solicitudes de indemnización, ante diferentes responsables del tratamiento, puede tomarse en consideración para determinar la existencia de tal intención abusiva».

Indemnización por vulneración del derecho de acceso

En relación con el artículo 82 del RGPD, el Tribunal declara que el derecho a indemnización no se limita a los daños derivados de un tratamiento ilícito de datos en sentido estricto. También alcanza a los daños y perjuicios resultantes de la vulneración del derecho de acceso reconocido en el artículo 15.1 del RGPD.

Con ello, el TJUE precisa que una infracción de los derechos del capítulo III del RGPD puede dar lugar a responsabilidad indemnizatoria aunque la infracción no consista, como tal, en una operación de tratamiento. De otro modo, se vaciaría de contenido la protección efectiva de esos derechos.

Daño inmaterial: pérdida de control e incertidumbre

La sentencia añade que los daños y perjuicios inmateriales pueden incluir la pérdida de control sobre los datos personales o la incertidumbre acerca de si esos datos han sido objeto de tratamiento. No obstante, el Tribunal recuerda que esos daños deben probarse efectivamente; no basta la mera existencia de una infracción del RGPD.

Además, el órgano judicial deberá comprobar la existencia de una relación de causalidad entre la infracción y el perjuicio alegado. Esa relación puede romperse si el propio comportamiento del interesado fue la causa determinante del daño, en particular cuando haya creado artificialmente la situación para activar una reclamación indemnizatoria.

Así, dispone el TJUE que «los daños y perjuicios inmateriales sufridos por el interesado incluyen la pérdida de control sobre sus datos personales o su incertidumbre en cuanto a si esos datos han sido objeto de tratamiento, siempre que se demuestre, en particular, que ese interesado ha sufrido efectivamente tales daños y perjuicios y que su comportamiento no constituyó la causa determinante de esos daños y perjuicios».

Impacto práctico

El fallo refuerza el derecho de acceso del RGPD, pero al mismo tiempo confirma que no puede ejercerse de forma abusiva. Para los responsables del tratamiento, la sentencia abre la puerta a rechazar incluso una primera solicitud cuando puedan demostrar, de manera sólida y caso por caso, una finalidad espuria.

Para los interesados, el pronunciamiento confirma que la lesión del derecho de acceso puede generar indemnización, también por daño moral, pero exige acreditar el perjuicio sufrido y su vínculo con la infracción, sin que baste invocar automáticamente la mera infracción formal del Reglamento.