El ordenamiento jurídico, tanto a nivel nacional como europeo, se fundamenta en un delicado equilibrio. Confiere derechos a los particulares para proteger sus intereses legítimos, pero también establece mecanismos para impedir que su ejercicio desborde los fines para los que fueron concebidos. Uno de los principios generales que informan el Derecho de la Unión Europea es, precisamente, la prohibición del abuso de Derecho, una doctrina que impide a los justiciables invocar las normas de la Unión de forma fraudulenta o abusiva. Esta tensión se manifiesta de forma particularmente interesante en el ámbito de la protección de datos, un campo donde los derechos de los individuos han sido notablemente reforzados.
El Reglamento General de Protección de Datos (RGPD) representa un pilar en la protección de las personas físicas. Entre el catálogo de derechos que otorga al interesado, el derecho de acceso, consagrado en su artículo 15, ocupa una posición central. Permite a cualquier persona conocer qué datos personales le conciernen están siendo tratados por un responsable, con qué finalidad, durante cuánto tiempo y con quién se comparten. No es un derecho meramente informativo; es la puerta de entrada para el ejercicio de otros, como la rectificación, la supresión o la oposición al tratamiento. Su ejercicio, en principio, debe ser sencillo y gratuito.
Sin embargo, ¿qué ocurre cuando este poderoso instrumento se desvía de su propósito original? Esta es la cuestión de fondo que aborda el Abogado General Maciej Szpunar en sus recientes conclusiones en el asunto C-526/24, Brillen Rottler, que enfrenta a una óptica alemana con un particular residente en Austria. El caso presenta un patrón de conducta que ha generado creciente preocupación: un individuo se suscribe a un boletín informativo, y apenas unos días después, ejerce su derecho de acceso para, acto seguido, reclamar una indemnización por una supuesta vulneración del RGPD.
La excepción a la gratuidad: ¿cuándo una solicitud es “excesiva”?
El RGPD anticipa la posibilidad de un uso indebido de estos derechos. El artículo 12, apartado 5, permite a un responsable del tratamiento negarse a actuar o cobrar un canon si una solicitud es «manifiestamente infundada o excesiva, especialmente debido a su carácter repetitivo». El Abogado General Szpunar interpreta esta disposición como una manifestación específica de la doctrina del abuso de Derecho.
La primera pregunta que surge es si una solicitud inicial, la primera que se presenta, puede ser considerada “excesiva”. La lógica sugiere que el carácter excesivo se asocia a la repetición. Sin embargo, el Sr. Szpunar argumenta, de forma convincente, que aunque deba ser una calificación excepcional, una primera solicitud sí puede ser calificada como tal. La clave no reside en el número de solicitudes, sino en la intención que subyace a su ejercicio.
Para demostrar este carácter abusivo, el responsable del tratamiento debe acreditar la existencia de una intención desviada por parte del interesado. No se trata de escrutar los motivos legítimos que pueda tener una persona, pues el RGPD no exige que se justifique una solicitud de acceso. De hecho, es perfectamente lícito ejercer este derecho para verificar la legalidad de un tratamiento y, si se descubre una infracción, reclamar una indemnización. El problema surge cuando la finalidad principal, o incluso única, no es la protección de los datos personales.
El modus operandi descrito en el litigio principal ofrece una ilustración clara. Cuando un interesado proporciona sus datos con el único propósito de generar un tratamiento para, inmediatamente después, presentar una solicitud de acceso y buscar una infracción con la que fundamentar una reclamación económica, se produce una instrumentalización del derecho. En estas circunstancias, como sugiere el Abogado General, la solicitud no busca realmente conocer o verificar el tratamiento, sino crear artificialmente las condiciones para un litigio. La intención del interesado no es protegerse, sino utilizar la arquitectura protectora del RGPD con un fin distinto, meramente lucrativo.
Es importante destacar un matiz crucial que introduce el Sr. Szpunar. El hecho de que una persona tenga un historial de reclamaciones por infracciones de protección de datos no es, por sí solo, prueba de un abuso. El derecho a la tutela judicial efectiva y a una indemnización (artículos 79 y 82 del RGPD) son derechos fundamentales, y su ejercicio reiterado no puede presumirse abusivo. La carga de la prueba recae sobre el responsable, quien debe demostrar, atendiendo a todas las circunstancias del caso concreto —como el breve lapso entre el consentimiento y la solicitud o la naturaleza de los datos—, que la finalidad real era ajena a la protección de datos.
El vínculo con la indemnización: ¿cualquier infracción genera un daño?
La estrategia descrita busca, en última instancia, obtener una compensación económica en virtud del artículo 82 del RGPD, que establece el derecho a recibir una indemnización por los daños y perjuicios, materiales o inmateriales, sufridos como consecuencia de una infracción del Reglamento.
El Abogado General aprovecha para clarificar un punto técnico, pero de gran calado. ¿El derecho a indemnización exige que el daño derive de un “tratamiento” ilícito de datos, o basta con cualquier infracción del RGPD? Algunos apartados del artículo 82 parecen apuntar a lo primero. Sin embargo, el Sr. Szpunar defiende una interpretación más amplia y coherente con el objetivo de la norma de garantizar un nivel elevado de protección. Sostiene que son indemnizables los daños sufridos como consecuencia de cualquier infracción del Reglamento, incluso si esta no consiste estrictamente en una operación de tratamiento de datos, como podría ser una negativa injustificada a facilitar el acceso.
Esta interpretación refuerza la importancia del derecho de acceso. Si su vulneración no pudiera generar un derecho a indemnización, su protección jurídica se vería significativamente mermada. Ahora bien, esto no supone que toda infracción genere automáticamente una indemnización. Siguiendo la jurisprudencia consolidada del Tribunal de Justicia, el interesado debe demostrar tres elementos acumulativos: la existencia de una infracción del RGPD, haber sufrido un daño real y efectivo (aunque sea inmaterial, como la pérdida de control sobre los datos), y un nexo causal entre la infracción y dicho daño.
En definitiva, las conclusiones del Abogado General Szpunar trazan una línea razonable y necesaria. Por un lado, reafirman la robustez del derecho de acceso como pilar del sistema de protección de datos. Por otro, reconocen que ningún derecho es absoluto y que el ordenamiento jurídico debe contar con las herramientas para defenderse de su uso instrumentalizado. Corresponderá al Tribunal de Justicia de la Unión Europea dictar la sentencia final, pero esta opinión ofrece una guía sólida para equilibrar la protección efectiva de los datos personales con la prevención de prácticas que, bajo la apariencia de defender un derecho, persiguen en realidad un objetivo ajeno a su noble finalidad.
La fuente principal de este artículo son las “CONCLUSIONES DEL ABOGADO GENERAL SR. MACIEJ SZPUNAR presentadas el 18 de septiembre de 2025 en el Asunto C‑526/24”.
SUBSTACK