La numerosa jurisprudencia reciente del Tribunal de Justicia acerca de la
interpretación del artículo 82 RGPD se ha visto complementada con la sentencia de ayer en el asunto Brillen Rottler, C-526/24,
ECLI:EU:C:2026:216. Se trata de un asunto surgido de una situación peculiar,
reflejo del riesgo de que la aplicación privada del RGPD, en particular del
derecho a indemnización previsto en su artículo 82, pueda dar lugar a prácticas
abusivas. En síntesis, el litigio tiene su origen en la demanda interpuesta por
una óptica familiar situada en Alemania para reaccionar frente a lo que
entiende una práctica abusiva de una persona física residente en Austria, que reclamaba
una indemnización por la violación del artículo 15 RGPD. La demandada, trece
días después de introducir sus datos personales en el sitio web de la óptica y suscribirse
a su boletín informativo, ejercitó una solicitud de acceso con base en el
artículo 15 RGPD. Tomando en consideración información públicamente disponible
acerca de que esa persona sistemáticamente presenta solicitudes de acceso con
el único propósito de obtener indemnizaciones por vulneración del RGPD que ella
misma provoca, la óptica denegó la solicitud de acceso por entender que era
manifiestamente infundada o excesiva (art. 12.5 RGPD). Al insistir la interesada
en su solicitud de acceso y añadir una pretensión de indemnización con base en
el artículo 82 RGPD, la óptica presentó una demanda ante los tribunales de su
lugar de establecimiento en Alemania para que declarara que la interesada no
tenía derecho a indemnización. La sentencia, que en lo sustancial sigue las conclusiones del Abogado General Szpunar, resulta de interés en relación con las
siguientes cuestiones: límites del derecho de acceso del interesado e
interpretación del principio general de prohibición del abuso de derecho (II, infra);
y alcance del derecho a indemnización y concreción de los daños susceptibles de
indemnización (III, infra). Aunque no sea objeto de la sentencia, con
carácter previo, me referiré a la estrategia de litigación internacional en casos de este tipo, a partir de lo dispuesto en el artículo 79 RGPD (I, infra).
I. Consideraciones sobre litigación internacional
En situaciones como las del litigio principal, un elemento a valorar por
parte del responsable del tratamiento pata ejercitar una acción con carácter
preventivo (tendente a obtener una declaración negativa) frente la persona que pretende
reclamar una indemnización con base en el artículo 82 RGPD es el riesgo de
verse abocada a litigar en el extranjero, en el caso de que opte por esperar a
ser demandad. Tal riesgo se acentúa en la medida en que, conforme al artículo
79 RGPD, las acciones contra un responsable o encargado del tratamiento pueden ejercitarse
ante los tribunales del Estado miembro en que el interesado tenga su residencia
habitual (en el litigio principal, en Austria).
Por lo tanto, actuar preventivamente permite al responsable conseguir que
el litigio se desarrolle ante los tribunales de su propio establecimiento (en el
litigio principal, Alemania), en la medida en que su competencia pueda fundarse
en que es el órgano jurisdiccional del lugar (o uno de los lugares) donde se
haya producido o pueda producirse el hecho dañoso (art. 7.2 Reglamento
1215/2012).
II. Derecho de acceso del interesado y prohibición del abuso de derecho
Con respecto al alcance del derecho de acceso del interesado del artículo
15 RGPD (y potencialmente otras solicitudes a las que pueda tener lugar), la
sentencia aclara que una primera solicitud de acceso puede ya resultar “manifiestamente
infundada o excesiva”, a los efectos de ser denegada por el responsable del tratamiento,
de conformidad con el artículo 12.5 RGPD. Al referirse a las solicitudes “manifiestamente
infundadas o excesivas”, el artículo 12.5 hace referencia a que pueden serlo “especialmente
debido a su carácter repetitivo”, lo que no excluye que en situaciones
excepcionales puedan serlo solicitudes realizadas por primera vez. El Tribunal
de Justicia considera que la posibilidad de denegar el derecho de acceso con
base en la excepción prevista en el artículo 12.5 RGPD -que, como tal debe
interpretarse restrictivamente- es una manifestación del “principio general del
Derecho de la Unión según el cual los justiciables no pueden invocar el Derecho
de la Unión de forma abusiva o fraudulenta” (apdo. 30 de la nueva sentencia con
referencia a la STJUE de 9 de enero de 2025, Österreichische
Datenschutzbehörde (Solicitudes excesivas), C‑416/23, EU:C:2025:3, apdo.
49). Por lo tanto, también puede operar cuando excepcionalmente el responsable
demuestre que en el caso concreto el comportamiento del interesado que solicita
el acceso resulta abusivo, por concurrir tanto el elemento objetivo como el
elemento subjetivo para apreciar que una conducta resulta abusiva.
Lo anterior requiere que el responsable demuestre que, a pesar de haberse
respetado formalmente las condiciones objetivas establecidas en el RGPD, no se
ha alcanzado el objetivo perseguido por ese instrumento (elemento objetivo) y,
por otro lado, la voluntad del interesado de obtener un beneficio resultante del
RGPD mediante la creación artificiosa de las condiciones exigidas para su
obtención (elemento subjetivo) (apdo. 36 de la nueva sentencia). Admite
el Tribunal que tal será el caso si el responsable del tratamiento logra demostrar
de manera inequívoca que el interesado
no presentó su solicitud de acceso con el fin de tener conocimiento del
tratamiento de sus datos, sino para crear artificialmente las condiciones
exigidas para la obtención de una indemnización por parte de ese responsable (apdo.
41).
En relación con las circunstancias que pueden resultar relevantes al realizar
tal apreciación, el Tribunal destaca, sin carácter exhaustivo, “el hecho de que
el interesado haya facilitado datos personales sin estar obligado a ello, la
finalidad de la comunicación de esos datos, el tiempo transcurrido entre esta y
la solicitud de acceso, así como el comportamiento de esa persona” (apdo. 42).
En relación con las circunstancias del litigio principal, el Tribunal de
Justicia precisa que, para acreditar las intenciones abusivas del solicitante
de acceso, también puede tomarse
en consideración la información pública relativa a su manera sistemática de
presentar solicitudes de acceso y reclamaciones de indemnización, siempre que
esté corroborada por otros elementos (apdo. 43).
III. Alcance del derecho a indemnización y concreción de los daños
susceptibles de indemnización
En lo relativo al alcance del derecho a indemnización de quien ha sufrido
daños y perjuicio como consecuencia de una infracción del RGPD, conforme a su
artículo 82, la sentencia tiene el interés de precisar que tal derecho no se
limita a los daños resultantes de un tratamiento de datos personales. Entiende
el Tribunal que el texto literal del apartado 1 del artículo 82 RGPD y su
función de protección del conjunto de derechos establecidos en el RGPD imponen
esa interpretación, pese a que el considerando 146 y otros apartados del
artículo 82 parezcan subordinar tal derecho a que los daños se deriven de un
tratamiento. Esta interpretación amplia del alcance del derecho de
indemnización justifica que el Tribunal considere innecesario dar respuesta a
la cuarta cuestión prejudicial acerca de si una solicitud de acceso por el
interesado o la respuesta a dicha solicitud por el responsable constituye un
«tratamiento» de datos personales.
Con respecto a los daños susceptibles de ser indemnizados en el marco del
artículo 82 RGPD, a la luz de su reciente jurisprudencia sobre este aspecto, la
aportación más relevante de la nueva sentencia es constatar que el
comportamiento de la persona afectada puede resulta determinante de que no
exista la relación de causalidad entre la infracción del RGPD alegada y el daño
supuestamente producida, que es uno de los presupuestos a los que está subordinado
la existencia del derecho a indemnización (apdo. 65). En particular, tal será
el caso cuando se destruya esa relación de causalidad, al demostrar el
responsable que los daños alegados por el perjudicado -como la pérdida de
control sobre sus datos personales o su incertidumbre en cuanto a si han sido
objeto de tratamiento- han sido causados por el propio comportamiento de esa
persona, por ejemplo, al someter sus datos al responsable del tratamiento con
el fin de crear artificialmente las condiciones para la aplicación del artículo
82 RGPD (apdos. 66 y 67).
