La reciente sentencia del Tribunal de Justicia de la Unión Europea de 19 de marzo de 2026 (asunto C-526/24) constituye un hito relevante en la evolución del sistema europeo de protección de datos, en la medida en que aborda, de forma directa y técnicamente sofisticada, tres cuestiones que están en el centro de la litigación actual en materia de RGPD: el abuso del derecho de acceso, el alcance del derecho a indemnización y la configuración del daño moral.
La resolución parte de un supuesto paradigmático de lo que podría denominarse “litigación estratégica en protección de datos”: un interesado que, tras facilitar voluntariamente sus datos, ejerce el derecho de acceso con aparente finalidad instrumental, esto es, provocar una infracción del RGPD que sirva de base a una reclamación indemnizatoria. Este tipo de conductas —cada vez más frecuentes en la práctica— obliga al Tribunal a enfrentarse a una tensión estructural entre la protección efectiva de los derechos del interesado y la necesidad de evitar usos desviados del sistema.
El primer elemento de interés radica en la interpretación del artículo 12.5 del RGPD. El Tribunal afirma, de manera expresa, que incluso una primera solicitud de acceso puede ser calificada como «excesiva» y, por tanto, susceptible de rechazo, siempre que concurran circunstancias que revelen un ejercicio abusivo del derecho. Esta afirmación tiene un alcance notable, en la medida en que rompe con una lectura puramente cuantitativa del concepto de solicitud excesiva —tradicionalmente asociada a la reiteración— y desplaza el análisis hacia un plano cualitativo.
La clave reside en la construcción de un test de abuso que combina un elemento objetivo y uno subjetivo. Desde la perspectiva objetiva, se exige constatar que, pese al cumplimiento formal de los requisitos del RGPD, la finalidad de la norma no se ha alcanzado. Desde el plano subjetivo, resulta imprescindible acreditar que el interesado ha actuado con la intención de obtener una ventaja indebida, en particular, «crear artificialmente las condiciones» para reclamar una indemnización. Este enfoque, claramente inspirado en la doctrina general del abuso del Derecho de la Unión, introduce un estándar probatorio exigente que recaerá, en todo caso, sobre el responsable del tratamiento.
La segunda gran aportación de la sentencia se sitúa en el ámbito de la responsabilidad civil. El Tribunal afirma con rotundidad que el derecho a indemnización previsto en el artículo 82 del RGPD no se limita a los daños derivados de un tratamiento ilícito de datos, sino que se extiende a cualquier infracción del Reglamento, incluido el incumplimiento del derecho de acceso. Esta interpretación, de carácter teleológico y funcional, refuerza la efectividad del sistema de garantías del RGPD, al impedir que determinadas vulneraciones queden sin reparación por no encajar en la noción estricta de “tratamiento”.
Desde una perspectiva práctica, esta doctrina amplía de forma significativa el perímetro de la responsabilidad de los responsables del tratamiento, al permitir la reclamación de daños incluso en supuestos de infracción meramente formal de los derechos del interesado. Ello obliga a extremar el cumplimiento de las obligaciones de transparencia y acceso, que dejan de ser una cuestión meramente procedimental para convertirse en un eje central del riesgo jurídico.
No obstante, el Tribunal introduce un contrapeso relevante en relación con la configuración del daño indemnizable. En línea con su jurisprudencia previa, reafirma que la mera infracción del RGPD no genera automáticamente un derecho a indemnización. Es necesario acreditar la existencia de un daño real, así como un nexo causal entre la infracción y dicho daño. En este contexto, el Tribunal reconoce que la pérdida de control sobre los datos personales o la incertidumbre acerca de su tratamiento pueden constituir daños morales indemnizables, pero rechaza que estos se presuman.
Este último aspecto resulta especialmente relevante en la práctica forense, donde se ha tendido a invocar de forma automática el daño moral en casos de infracción del RGPD. La sentencia exige una prueba efectiva del perjuicio, aunque sea mínimo, y abre la puerta a excluir la indemnización cuando el daño es consecuencia del propio comportamiento del interesado, rompiendo así el nexo causal. De este modo, el Tribunal introduce un mecanismo de corrección frente a posibles abusos del sistema indemnizatorio.
En definitiva, la sentencia C-526/24 consolida una doble línea jurisprudencial que marcará previsiblemente la evolución futura del RGPD. Por un lado, refuerza la efectividad de los derechos del interesado mediante una interpretación amplia del derecho a indemnización. Por otro, introduce límites claros al ejercicio abusivo de dichos derechos, mediante la exigencia de una finalidad legítima y la posibilidad de rechazar solicitudes excesivas incluso en su primera formulación.
Para el operador jurídico, la consecuencia es clara. Nos encontramos ante un sistema cada vez más sofisticado, en el que la litigación en materia de protección de datos exige no solo un conocimiento técnico del RGPD, sino también una estrategia probatoria precisa, tanto para acreditar el daño como para combatir eventuales abusos. La protección de datos ha dejado de ser un ámbito meramente regulatorio para convertirse, de forma definitiva, en un terreno de alta intensidad litigiosa donde confluyen derechos fundamentales, responsabilidad civil y principios generales del Derecho de la Unión.
