Limitación del derecho de acceso ante un ejercicio de mala fe

El derecho de acceso a los datos personales, consagrado en el artículo 15 del Reglamento General de Protección de Datos (RGPD), constituye uno de los ejes fundamentales del sistema europeo de protección de datos. Este derecho permite a cualquier persona conocer si una entidad trata sus datos personales, acceder a ellos y obtener información relevante sobre dicho tratamiento. Su ejercicio es, en la práctica, la puerta de entrada para el control efectivo de los datos personales y la garantía de otros derechos, como la rectificación, supresión u oposición.

Sin embargo, la aplicación de este derecho no está exenta de tensiones. Por un lado, la normativa europea lo configura como un derecho amplio y esencial para la tutela de la privacidad. Por otro, reconoce la posibilidad de limitarlo en supuestos excepcionales, como cuando las solicitudes sean “manifiestamente infundadas o excesivas” (artículo 12.5 RGPD). Esta excepción existe y se aplica con carácter restrictivo, con carga de la prueba para el responsable.

En este contexto, el Tribunal de Justicia de la Unión Europea (TJUE) ha sido llamado a pronunciarse sobre la posibilidad de denegar el acceso cuando se ejercita de mala fe, en el marco del asunto C-526/24 (Brillen Rottler). Las conclusiones del Abogado General Szpunar, presentadas el 18 de septiembre de 2025, no vinculan al Tribunal, pero aportan una visión matizada que probablemente influirá en el debate. Entre las cuestiones prejudiciales figura expresamente si el artículo 12.5 RGPD permite denegar una solicitud cuando el interesado pretende instrumentalizarla para reclamar daños y perjuicios.

El caso Brillen Rottler

El supuesto de hecho describe a un particular que se suscribe a la newsletter de una empresa, consintiendo el tratamiento de sus datos, y poco después ejerce su derecho de acceso. La empresa sospecha que la finalidad real del acceso es provocar una infracción para reclamar una indemnización y deniega la solicitud por abuso de derecho. La cuestión central es si el derecho de acceso puede limitarse legítimamente cuando exista una intención abusiva por parte del solicitante y bajo qué criterios puede apreciarse esa mala fe.

Criterios para limitar el derecho de acceso

El Abogado General parte de la premisa de que el derecho de acceso es un derecho fundamental, cuya restricción debe ser excepcional y debidamente justificada. Sobre esa base, sostiene que incluso una primera solicitud de acceso podría, en teoría, considerarse “excesiva” si se ejercita con manifiesta mala fe. Ahora bien, exige criterios estrictos y una prueba clara del propósito abusivo, evitando calificaciones automáticas o genéricas.

La calificación de abuso se vincula al propósito subyacente del interesado. Podría apreciarse, por ejemplo, cuando se acredita que el interesado creó deliberadamente la relación con el responsable solo para forzar una denegación y reclamar una compensación, instrumentalizando el marco del RGPD. En tal caso, la solicitud no estaría protegida. Esta línea aparece reflejada en los pasajes de la opinión que describen la intención de provocar el rechazo para exigir el pago inmediato de una indemnización.

La interpretación restrictiva del abuso propuesta por el Abogado General se asienta en la función estructural del derecho de acceso dentro del sistema de protección de datos. Limitarlo de manera amplia o preventiva vaciaría de contenido una garantía esencial para la transparencia y el control ciudadano sobre la información personal. Por ello, coloca la carga probatoria sobre el responsable y descarta que patrones de reclamaciones o ejercicios previos, por sí solos, basten para denegar el acceso.

El análisis también recuerda que, si la solicitud no es excesiva ni manifiestamente infundada, la falta de respuesta del responsable puede generar responsabilidad por daños y perjuicios al amparo del artículo 82 RGPD, extremo que la opinión del Abogado General aborda expresamente en el mismo asunto. Esta advertencia refuerza la necesidad de evaluar caso por caso y documentar los motivos cuando se invoque el artículo 12.5.

En definitiva, las conclusiones del Abogado General reafirman el carácter esencial del derecho de acceso y apuestan por una interpretación muy restrictiva de sus límites. La propuesta preserva la tutela de los derechos individuales, pero no resuelve por sí misma los retos operativos que afrontan los responsables ante un incremento de solicitudes potencialmente abusivas o automatizadas. A la espera de la sentencia del TJUE, la pauta práctica pasa por analizar el propósito real de la solicitud, exigir indicios sólidos de mala fe antes de denegar y conservar evidencia suficiente de la evaluación realizada.