El RGPD de la UE permite a los Estados miembros establecer una tasa razonable basada en los costes administrativos o negarse a actuar frente a las solicitudes de control excesivas si existe intención abusiva de la persona que las ha presentado
El TJUE resuelve que las solicitudes no pueden ser calificadas de «excesivas», únicamente debido al número de ellas presentado durante un período determinado, pero si la autoridad de control demuestre la existencia de una intención abusiva de la persona que las ha presentado, cuando se enfrenta a solicitudes excesivas, puede optar, mediante decisión motivada, entre establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de tales solicitudes, teniendo en cuenta todas las circunstancias pertinentes y velando por que la opción elegida sea adecuada, necesaria y proporcionada.
El Tribunal de Justicia de la Unión Europea en su sentencia de 9 de enero de 2025 ha resuelto que el RGPD de la UE permite a los Estados miembros establecer una tasa razonable basada en los costes administrativos o negarse a actuar frente a las solicitudes de control excesivas si existe intención abusiva de la persona que las ha presentado.
A pesar de ello, las solicitudes no pueden ser calificadas de «excesivas», únicamente debido al número de ellas presentado durante un período determinado, ya que la autoridad de control debe demostrar la existencia de una intención abusiva de la persona que las ha presentado.
En este caso, una persona presentó una reclamación ante la Autoridad de Protección de Datos de Austria (DSB) por infracción del RGPD, alegando que una sociedad que tenía la condición de responsable del tratamiento no había respondido en el plazo de un mes a su solicitud de acceso a sus datos personales. La DSB se negó a actuar respecto de dicha reclamación debido a su carácter excesivo, pues el interesado le había dirigido, en un intervalo de aproximadamente veinte meses, setentaisiete reclamaciones similares contra diferentes responsables del tratamiento; además, FR se ponía regularmente en contacto con la DSB por teléfono con el fin de exponer hechos complementarios y formular solicitudes adicionales.
Considera el Tribunal de Justicia que la consecución del objetivo de garantizar un nivel uniforme y elevado de protección de las personas físicas en la Unión requiere garantizar el buen funcionamiento de las autoridades de control evitando que este se vea obstaculizado por la presentación de reclamaciones manifiestamente infundadas o excesivas, en el sentido del art. 57.4 RGPD. De este modo, la referida disposición ofrece a las autoridades de control la posibilidad de gestionar mejor tales reclamaciones, aligerando la carga que estas pueden suponerles. A este respecto, cuando una autoridad de control se enfrenta a solicitudes manifiestamente infundadas o excesivas, la posibilidad de establecer una tasa razonable o de negarse a actuar respecto de tales solicitudes permite garantizar un elevado nivel de protección de los datos personales y el art. 57.4 RGPD debe interpretarse en el sentido de que el concepto de «solicitud» que figura en esta disposición comprende las reclamaciones a que se refieren los art. 57.1.f), y 77.1, de dicho Reglamento.
Por otro lado, permitir a las autoridades de control constatar el carácter excesivo de las reclamaciones por el único motivo de que su número es elevado podría comprometer la consecución de este objetivo. La multiplicación de las reclamaciones presentadas por una persona puede ser un indicio de la existencia de solicitudes excesivas cuando resulte que las referidas reclamaciones no están objetivamente justificadas por consideraciones relativas a la protección de los derechos que el RGPD confiere a esa persona.
En el caso de autos, corresponde al órgano jurisdiccional remitente comprobar si la DSB ha acreditado la existencia de una intención abusiva del interesado, sin que el número de sus reclamaciones pueda, por sí solo, justificar el ejercicio de la facultad prevista en el art. 57.4 RGPD, que debe interpretarse en el sentido de que las solicitudes no pueden ser calificadas de «excesivas», en el sentido de esta disposición, únicamente debido al número de ellas presentado durante un período determinado, ya que el ejercicio de la facultad prevista en la referida disposición está supeditado a que la autoridad de control demuestre la existencia de una intención abusiva de la persona que las ha presentado. Habida cuenta de la importancia que reviste el derecho a presentar reclamaciones en relación con el objetivo de garantizar un elevado nivel de protección de los datos personales, del lugar esencial que ocupa la tramitación de esas reclamaciones entre las funciones que se atribuyen a las autoridades de control y de la obligación que incumbe a estas autoridades de tramitar tales reclamaciones con toda la diligencia debida, corresponde a dichas autoridades tener en cuenta todas las circunstancias pertinentes y velar por que la opción elegida sea adecuada, necesaria y proporcionada. La autoridad de control puede considerar adecuado, en función de las circunstancias pertinentes y al objeto de poner fin a una práctica abusiva que pueda perjudicar su buen funcionamiento, establecer una tasa razonable basada en los costes administrativos de la sobrecarga de trabajo causada por reclamaciones excesivas. En efecto, la función disuasoria de esta opción puede llevar a esa autoridad a priorizarla en lugar de negarse de plano a actuar respecto de tales reclamaciones.
Así concluye el Tribunal que el art. 57.4RGPD debe interpretarse en el sentido de que, cuando se enfrenta a solicitudes excesivas, una autoridad de control puede optar, mediante decisión motivada, entre establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de tales solicitudes, teniendo en cuenta todas las circunstancias pertinentes y velando por que la opción elegida sea adecuada, necesaria y proporcionada.