El Reglamento General de Protección de Datos (RGPD), que en mayo cumple 10 años, se ha revelado, en términos generales, como una norma solvente y útil para su fin: el control por parte de los interesados de sus datos personales. Con algunas matizaciones, podemos afirmar que los ciudadanos han adquirido conciencia de la importancia de sus datos, y son cada vez más exigentes con el correcto uso de los mismos por parte de las organizaciones a quienes se los confían.
Prueba clara de esto es el aumento incesante de reclamaciones que año tras año reciben las autoridades de control. En concreto, según el Informe de actividad del primer semestre de 2025 publicado por la Agencia Española de Protección de Datos (AEPD), estas reclamaciones han crecido un 22,5% en el primer semestre de 2025 respecto al mismo periodo de 2024.
Otra de las señales claras es el aumento, en cantidad y calidad -probablemente con la ayuda de herramientas de IA-, de las solicitudes de derechos de los interesados. Los derechos previstos en el RGPD (artículos 15 a 22) sirven para dar a los interesados control efectivo sobre sus datos personales y, en la práctica, para equilibrar la relación entre la persona y la organización que trata esos datos. Gracias a ellos, el interesado puede saber qué datos se tratan, corregirlos, pedir su supresión, oponerse a determinados usos, limitar el tratamiento y, en su caso, trasladar sus datos a otro responsable.
Estos derechos tienen finalidades muy concretas, sin embargo, se detecta con preocupación una tendencia creciente consistente en el ejercicio de estos derechos, especialmente el derecho de acceso, no tanto con el objetivo de obtener información real para garantizar la protección de datos, sino para generar costes, presión o incluso una eventual reclamación indemnizatoria frente al responsable del tratamiento.
Si bien es cierto que en principio el responsable del tratamiento está obligado a atender estas solicitudes, el artículo 12.5 RGPD ya previó la posibilidad de que se presentaran solicitudes “manifiestamente infundadas o excesivas” permitiendo al responsable (i) cobrar una tasa correspondiente a los costes administrativos por llevar a cabo la actuación pertinente, (ii) o bien negarse a actuar respecto a la solicitud.
¿Pero cuándo puede entenderse que la solicitud es excesiva y, por tanto, el responsable estaría legitimado para no atenderla?
Por un lado, la Agencia Española de Protección de Datos (AEPD) ya ha analizado esta cuestión en varias ocasiones. Sirva de ejemplo la resolución del procedimiento E/00739/2021. El reclamante formuló una solicitud de acceso genérica frente a una universidad con más de 26.000 alumnos, preguntando por todos sus datos en todos los sistemas, de todos sus roles pasados, historial disciplinario, accesos a expedientes, etc. La universidad le pidió que concretase su petición y, al reiterarse sin precisar, la universidad denegó la solicitud invocando el artículo 12.5 RGPD. La AEPD archivó las actuaciones considerando que el reclamante había actuado en vulneración del principio de buena fe y que su conducta constituía un abuso del derecho.
Así, según doctrina de la AEPD:
- La solicitud será considerada excesiva cuando el afectado elija un medio distinto al ofrecido que suponga un coste desproporcionado, o cuando se ejerza de forma repetitiva sin causa legítima en menos de seis meses.
- El volumen de datos que gestiona el responsable no es suficiente para calificar una solicitud como "excesiva" sino que debe acreditarse la imposibilidad real de responder.
- El responsable no puede limitarse a pedir que se concrete la solicitud y, ante la reiteración del interesado, denegar sin más: debe o bien facilitar los datos, o bien denegar motivadamente citando los límites concretos del RGPD que amparan esa denegación.
Por otro lado, el Tribunal de Justicia de la Unión Europea (TJUE) en su reciente sentencia de 19 de marzo de 2026, en el asunto C-526/24, viene a ampliar los criterios establecidos por la AEPD para entender cuando una solicitud es excesiva.
En este caso, el TJUE resuelve las cuestiones prejudiciales planteadas por el Tribunal de lo Civil y Penal de Arnsberg (Alemania) que estaba entiendo un caso por el que un particular se suscribió a una newsletter y ejercitó su derecho de acceso apenas trece días después. La empresa denegó la solicitud por considerarla abusiva. El interesado insistió y añadió una pretensión de indemnización de 1.000 euros por daños morales, con arreglo al artículo 82 del RGPD.
El TJUE confirma que incluso una primera solicitud puede considerarse excesiva en el sentido del art. 12.5 RGPD, ya que la clave no está en cuántas veces se ejercita el derecho de acceso, sino en para qué se solicita. Si el responsable del tratamiento demuestra que el interesado no buscaba conocer el tratamiento de sus datos ni verificar su licitud, sino fabricar las condiciones para reclamar una indemnización, esa solicitud no merece la protección del RGPD.
Entre los elementos a valorar para determinar si una solicitud es excesiva, el TJUE establece los siguientes:
- El comportamiento previo del interesado y la existencia de un patrón sistemático orientado a reclamar indemnizaciones.
- No basta con sospechar: la carga de la prueba recae en el responsable del tratamiento.
- El carácter “excesivo” no se limita a solicitudes repetitivas.
- El concepto de “excesivo” se conecta con la doctrina general del Derecho de la UE sobre prohibición del abuso de derecho.
En resumen, cada vez más, los responsables del tratamiento tendrán que valorar de manera detallada cada una de las solicitudes que reciban, sin poder denegarlas automáticamente por una mera sospecha de abuso. Es importante recabar prueba, tener evidencias y motivar la respuesta para denegar la atención de los derechos ejercitados por el interesado. Y a los interesados, debe quedarles claro que el RGPD no es una herramienta de presión o de chantaje y preservarlo como un medio para defender sus derechos.