El litigio original ante un tribunal alemán enfrenta a una óptica alemana, y a un particular que, tras suscribirse a su newsletter, ejercitó su derecho de acceso apenas trece días después.
La empresa denegó la solicitud por considerarla abusiva, conforme al art. 12.5 del Reglamento General de Protección de Datos (“RGPD”). El interesado insistió y añadió una pretensión de indemnización de 1.000 euros por daños morales, con arreglo al artículo 82 del RGPD.
La empresa sostuvo que el solicitante seguía un patrón reiterado de actuación, consistente en presentar de forma sistemática solicitudes de acceso ante distintas empresas, con el único propósito de obtener indemnizaciones por supuestas vulneraciones. En este sentido, alegó que su modus operandi consistía en suscribirse a un boletín informativo, ejercitar posteriormente el derecho de acceso y, finalmente, formular una reclamación indemnizatoria.
Ante estas circunstancias, el tribunal alemán planteó al TJUE si:
• una primera solicitud de acceso puede ser “excesiva”, y
• qué criterios permiten apreciar un abuso de derecho en este contexto.
El TJUE confirma que incluso una primera solicitud puede considerarse excesiva en el sentido del art. 12.5 RGPD, ya que la clave no está en cuántas veces se ejercita el derecho de acceso, sino en para qué se solicita.
Si el responsable del tratamiento demuestra que el interesado no buscaba conocer el tratamiento de sus datos ni verificar su licitud, sino fabricar las condiciones para reclamar una indemnización, esa solicitud no merece la protección del RGPD. Si bien, hay que tener claro que esto no significa que se puedan denegar solicitudes por comodidad o por una mera sospecha.
Entre los elementos a valorar para determinar si una solicitud es excesiva, el TJUE admite tener en cuenta:
• el comportamiento previo del interesado y la existencia de un patrón sistemático orientado a reclamar indemnizaciones. El hecho de que, según información accesible al público, el interesado haya presentado varias solicitudes de acceso a sus datos personales, seguidas de solicitudes de indemnización, ante diferentes responsables del tratamiento, puede tomarse en consideración para determinar la existencia de tal intención abusiva.
• No basta con sospechar: la carga de la prueba recae en el responsable del tratamiento.
• El carácter “excesivo” no se limita a solicitudes repetitivas.
• El concepto de “excesivo” se conecta con la doctrina general del Derecho de la UE sobre prohibición del abuso de derecho.
Por lo tanto, una primera solicitud de acceso presentada por el interesado puede considerarse una “solicitud excesiva” en el sentido del artículo 12, apartado 5, del RGPD, por tanto, constituir un abuso de derecho.