Informe jurídico n.º 93 – Marzo de 2026. 

 

Acceso a datos personales: ¿reconocimiento del abuso de derechos?

Una reciente decisión del Tribunal de Justicia de la Unión Europea (TJUE) aclara las condiciones del derecho de acceso de las personas a sus datos personales y, en particular, las circunstancias en las que una solicitud de acceso puede considerarse abusiva por parte del responsable del tratamiento de datos.

Si bien el artículo 12 del RGPD vincula el carácter abusivo de las solicitudes con su carácter repetitivo, el Tribunal de Justicia de la Unión Europea (TJUE) aclaró el 19 de marzo en el asunto C-526/24 – Brillen Rottler que este criterio de repetición es meramente ilustrativo: el número de solicitudes no es determinante, y una solicitud inicial de acceso puede considerarse abusiva si el interesado utiliza este derecho para obtener una ventaja, por ejemplo, si pretende crear artificialmente un derecho a indemnización contra el responsable del tratamiento. En tal caso, esto constituye un abuso de derecho.

Sin embargo, la negativa a responder a una solicitud de acceso debe seguir siendo excepcional según el RGPD, y el responsable del tratamiento de datos debe poder demostrar la intención abusiva del solicitante.

En este caso concreto, la persona responsable tuvo que demostrar, basándose en pruebas concretas, que la solicitud no tenía por objeto verificar el tratamiento de los datos, sino crear artificialmente las condiciones para una reclamación por daños y perjuicios.

Se sabía que el solicitante había realizado múltiples solicitudes a numerosos responsables del tratamiento de datos, después de proporcionarles sus datos, con el fin de obtener una compensación.

El Tribunal reitera que deben cumplirse tres condiciones para que se conceda una indemnización:

• Una violación del RGPD,
• Daño
• Y un vínculo causal entre ambos.

Los daños intangibles pueden resultar de una pérdida de control o incertidumbre en el procesamiento de datos, pero el demandante debe probar dichos daños, y estos no pueden haber sido causados por su conducta.

En este caso particular, el vínculo causal se rompió debido al comportamiento de la persona en cuestión, que actuó con el objetivo de crear artificialmente las condiciones para que se produjera el daño.

Cuando se cumplen las tres condiciones anteriores, una infracción del derecho de acceso puede dar lugar a un derecho de reparación, incluso si dicha infracción no resulta directamente del tratamiento de datos en sentido estricto.

Negarse a responder a una solicitud de acceso puede exponer a la parte responsable a una reclamación de indemnización por parte de un solicitante de buena fe.

Por lo tanto, el responsable del tratamiento de datos que sospeche que se trata de una solicitud abusiva debe extremar las precauciones y conservar pruebas de dicha naturaleza abusiva antes de denegar el acceso. 

Las aclaraciones proporcionadas por el TJUE son coherentes con las directrices publicadas por el Comité Europeo de Protección de Datos (CEPD) en 2022 sobre la materia, que ofrecen orientación adicional.

Por lo tanto, el carácter excesivo de las solicitudes puede depender de las características específicas del sector en el que opera el responsable del tratamiento de datos.

"Cuanto más frecuentes sean los cambios realizados en la base de datos del responsable del tratamiento de datos, mayor será la probabilidad de que el interesado pueda solicitar acceso a sus datos sin que ello se considere excesivo."

En caso de solicitudes reiteradas, el responsable del tratamiento de datos podrá, en lugar de denegar el acceso, decidir cobrar al interesado una tasa correspondiente al coste de los trámites administrativos derivados de las solicitudes.

Por último, cabe señalar que la Comisión Europea también pretende, en su propuesta de ley ómnibus digital, brindar mayor seguridad jurídica a los responsables del tratamiento de datos cuando se enfrenten a abusos de derechos por parte de los interesados.

Si bien el CEPD y el SEPD (Supervisor Europeo de Protección de Datos) respaldan este deseo de aclaración en su dictamen del 10 de febrero, consideran que el ejercicio del derecho de acceso con fines distintos a la protección de datos personales no debería ser un elemento determinante de lo que constituye un abuso… siempre que no se ponga en duda la buena fe del solicitante.

 

Un decreto de aplicación de la ley SREN, publicado el 24 de marzo, introduce requisitos adicionales. para alojar datos de salud (HDS) exclusivamente en territorio de la UE o del EEE.Estos requisitos son bien recibidos por la CNIL, ya que tienen como objetivo aumentar la transparencia hacia las personas afectadas, así como reforzar el control de los datos de salud por parte de las partes del contrato de alojamiento en lo que respecta al riesgo de acceso extracomunitario.

En términos más generales, todo el sistema informático del Estado tiene la intención de migrar hacia soluciones soberanas.

Así, una semana después del anuncio del despliegue de la plataforma colaborativa LaSuite para los 80.000 agentes del Seguro de Salud, la Dirección Digital Interministerial (DINUM) anunció oficialmente el 9 de abril su intención de abandonar Windows en favor de Linux y de adoptar una solución propia antes de que finalice el año.

Estos objetivos se han concretado desde el seminario del 8 de abril, que reunió por primera vez a ministerios, operadores públicos y agentes privados con el fin de identificar de qué software y servicios extranjeros depende hoy el Estado para poder prescindir de ellos mañana.

"A partir de este otoño, cada ministerio (y los organismos públicos que dependen de él) deberán presentar su propia hoja de ruta para reducir su dependencia digital extranjera."

La hoja de ruta estatal sobre seguridad digital para el período 2026-2027 se publicó a principios de abril.

Forma parte del esfuerzo por lograr que las administraciones estatales cumplan con la directiva NIS2 y las involucra en su transición a la criptografía postcuántica. 

"En un contexto de alta amenaza y deterioro de la situación geopolítica, se establecen las prioridades que deben alcanzar los ministerios en materia de seguridad digital: consolidar la gobernanza, reforzar la gestión de accesos, controlar el entorno de los sistemas de información, etc."

La CNIL publicó el 3 de abril sus temas prioritarios de control para 2026.  Ella se centrará en

• Reclutamiento,
• El censo electoral único
• Federaciones deportivas.

Se realizarán nuevos anuncios relacionados con la ciberseguridad cuando se publique su informe anual en mayo.

También publicó su programa de trabajo para profesionales de apoyo.lo cual enfatizará

• El uso de la IA,
• Datos de salud,
• Condiciones del derecho de acceso
• Ciberseguridad.

Su sitio web también incluye una nueva guía sobre los periodos de retención de datos de recursos humanos. Por último, en una publicación del 20 de marzo, la CNIL reitera las condiciones sumamente restrictivas para la grabación de sonido mediante cámaras de videovigilancia.

Si bien el ciberataque a las Agencias Regionales de Salud (ARS, por sus siglas en inglés) se confirmó oficialmente en septiembre de 2025, la situación está tomando un giro más alarmante en la actualidad. Mientras tanto, el grupo de hackers DumpSec se atribuye la responsabilidad del ataque y ahora está vendiendo una enorme base de datos del sistema sanitario francés.

Más de 35 millones de pacientes se verían afectados, y los datos incluirían información sensible relacionada con los protocolos de atención médica.

La filtración de datos se debe al robo de las credenciales de los profesionales sanitarios en los servidores de GRADeS (grupo regional de apoyo a la salud electrónica).

El Tribunal de Justicia de la Unión Europea (TJUE) dictó sentencia el 19 de marzo, afectando a las condiciones para la recogida de datos biométricos por parte de la policía francesa.

En el asunto C 371/24 – Comdribus, se dictaminó que la legislación nacional es incompatible con la Directiva europea “Justicia policial” cuando autoriza a un servicio de aplicación de la ley a procesar sistemáticamente los datos biométricos de los sospechosos sin exigir a la autoridad competente que justifique la absoluta necesidad y proporcionalidad de dicho procesamiento.

Una persona que se niegue a que se recopilen sus datos biométricos solo podrá ser sancionada si la recopilación prevista cumple estas condiciones, evaluadas a la luz de las circunstancias existentes en el momento en que las autoridades competentes decidan realizar dicha recopilación.

La motivación para la recopilación de datos es necesaria para que la persona interesada pueda ejercer su derecho a un recurso legal efectivo.

En este caso concreto, durante una acción llevada a cabo en París en mayo de 2020 por activistas climáticos, varios participantes, incluido el denunciante, fueron detenidos por las fuerzas del orden por organizar una manifestación no declarada.

Tras ser puesta bajo custodia policial, la denunciante se negó a someterse a la toma de huellas dactilares y a la fotografía.

El Ministro del Interior declaró el 3 de abril en el Senado, durante una sesión de preguntas al gobierno, que el uso de software de reconocimiento facial por parte de las fuerzas del orden en sus dispositivos de control de identidad Neo no era legal, excepto en el marco de una investigación dirigida por un juez.

El ministro indicó que la CNIL está investigando actualmente este asunto.

El director de una empresa de ciberseguridad que ganó el programa French Tech 2030 fue arrestado a finales de marzo en el marco de una operación europea a gran escala contra una plataforma de pornografía infantil.

El ingeniero, que dirige una empresa emergente especializada en la anticipación de amenazas cibernéticas —entre cuyos clientes se encuentran el FBI y la Comisión Europea—, es sospechoso de haber comprado imágenes y vídeos de pornografía infantil a través de una plataforma de pornografía infantil de la Darknet.

Las fuerzas del orden han efectuado más de 200 detenciones en toda Europa en el marco de una operación coordinada, gracias a los pagos con criptomonedas rastreados y desanonimizados por los investigadores.

 

instituciones y organismos europeos

El 11 de marzo, el Parlamento Europeo acordó prorrogar las normas (excepcionales) que permiten el control de las comunicaciones electrónicas ("Control de chats"). al tiempo que limitan su alcance.

En lugar de otorgar una autorización general para las tecnologías de escaneo, el Parlamento solicitó que estas herramientas se utilizaran únicamente contra sospechosos conocidos y exclusivamente para detectar pornografía infantil conocida.

Mientras tanto, Google, Meta, Microsoft y Snap (Chat) reafirmaron en un comunicado de prensa conjunto que "continuarán tomando medidas voluntarias con respecto a sus servicios de comunicación interpersonal afectados".

Las negociaciones interinstitucionales aún continúan: la Presidencia chipriota del Consejo pretende finalizar el proyecto en julio de 2026, y la cuestión se está negociando actualmente en el marco del diálogo a tres bandas entre el Parlamento, el Consejo y la Comisión.

El 26 de marzo, los miembros del Parlamento Europeo tomaron posición en sesión plenaria sobre el componente de inteligencia artificial del paquete Ómnibus Digital.

Votaron a favor de posponer la entrada en vigor de varias disposiciones del reglamento sobre inteligencia artificial.

Por lo tanto, la implementación de los sistemas de IA que utilizan datos biométricos y los empleados en infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, justicia y gestión de fronteras se pospondría de agosto de 2026 al 2 de diciembre de 2027.

Los parlamentarios proponen aplazar hasta el 2 de agosto de 2028 la entrada en vigor de otros sistemas sujetos a regulación sectorial (seguridad y vigilancia del mercado).

Los diálogos a tres bandas entre la Comisión Europea, el Parlamento y el Consejo tienen como objetivo alcanzar un acuerdo provisional sobre el texto antes del 28 de abril.

Cabe recordar que los principios esenciales del reglamento ya han entrado en vigor y están sujetos a controles por parte de la CNIL (Autoridad Francesa de Protección de Datos).

El 24 de marzo, la Comisión Europea detectó un ciberataque que afectó a la infraestructura en la nube que aloja su sitio web en la plataforma Europa.eu, y que resultó ser más grave de lo que se indicaba inicialmente en su comunicado de prensa.

Los datos afectan a 71 clientes del servicio de alojamiento web Europa. CERT-EU, el servicio de seguridad de datos de la UE, confirma la presencia de nombres, nombres de usuario, direcciones de correo electrónico y contenido de correos electrónicos en la filtración.

Se publicaron 340 GB de datos y casi 52.000 archivos de correo electrónico en la web oscura.

Dos importantes sentencias del Tribunal de Justicia de la Unión Europea (TJUE), de fecha 19 de marzo, los casos Brillen Rottler y Comdribus, han sido analizadas anteriormente en el editorial y en las noticias de Francia.

El Consorcio Europeo de Infraestructuras Digitales “Bienes Comunes Digitales” (EDIC) El proyecto va tomando forma con la adhesión de nuevos países y el lanzamiento de sus primeros proyectos, incluido un proyecto piloto para un fondo soberano europeo de tecnología.

El objetivo del consorcio es ayudar a los Estados miembros de la Unión Europea a desarrollar infraestructuras digitales abiertas y fortalecer la soberanía digital de Europa.

 

Noticias procedentes de los países miembros de la Unión Europea.

Un tribunal alemán ha dictaminado que Meta procesó ilegalmente los datos personales de personas no registradas a través de su función "Buscar amigos" en Facebook.

Además, la empresa no tendría ninguna base legal para procesar los datos personales de los usuarios de su propia plataforma con fines publicitarios.

En un caso reciente, un tribunal austriaco dictaminó que la autoridad de protección de datos tenía razón al negarse a tramitar una reclamación en virtud del artículo 57, apartado 4, del RGPD, después de que una persona intentara abusar del mecanismo de reclamaciones para retrasar la recuperación de una deuda.

La Autoridad Belga de Protección de Datos (APD) consideró que un empleador había satisfecho suficientemente la solicitud de acceso de un empleado al proporcionarle sus datos mediante una reproducción en lugar de extraer íntegramente los correos electrónicos en cuestión.

En Finlandia, la Autoridad de Protección de Datos (DPA, por sus siglas en inglés) emitió una advertencia a una agencia de calificación crediticia por gestionar de forma inadecuada las solicitudes de acceso a datos.

El responsable del tratamiento de datos remitió a los interesados a su portal de acceso a datos sin realizar un seguimiento posterior, e indicó que se cobraría una tarifa por cualquier solicitud realizada más de una vez durante un período de doce meses.

La Agencia Española de Protección de Datos (APD) ha multado con 950.000 euros a un proveedor de servicios de identificación digital y verificación de edad (YOTI) por recopilar datos biométricos sin consentimiento válido (falta de granularidad y garantías suficientes en relación con los datos relativos a menores) y por no limitar el período de retención de los datos.

La Autoridad Belga de Protección de Datos (APD) multó a Hyundai con 2.000.000 de euros tras un ciberataque que expuso los datos de más de un millón de personas, incluyendo sus nombres, datos de contacto y números de identificación de vehículos. La APD determinó que el responsable del tratamiento de datos no había garantizado un nivel de seguridad adecuado, en particular porque los datos en cuestión no estaban cifrados.

Finalmente, la Autoridad Belga de Protección de Datos (APD) impuso una multa particularmente elevada (10 millones de euros) al operador aeroportuario Aena por la forma en que implementó su sistema de embarque mediante reconocimiento facial. Este sistema permite a los pasajeros embarcar simplemente mirando a una cámara. La autoridad determinó que este sistema biométrico se implementó sin una evaluación previa del impacto en la protección de datos.

La Autoridad Italiana de Protección de Datos (APD) ha multado a un banco con 31.800.000 euros por no implementar medidas de seguridad suficientes para impedir que un empleado accediera a los datos financieros de más de 3.500 personas con fines ajenos a sus funciones.

El responsable del tratamiento de datos tampoco informó a la APD ni a los interesados de esta violación de datos de manera oportuna.

Otro banco fue multado con 17.628.000 euros por transferir las cuentas de 275.000 clientes a su filial sin su consentimiento. El banco había utilizado perfiles de usuario para seleccionar a las personas consideradas clientes "principalmente digitales".

En Luxemburgo, el Tribunal Administrativo Supremo anuló una multa de 746 millones de euros impuesta a Amazon. La decisión no cuestiona el tratamiento ilícito de datos personales con fines publicitarios personalizados, pero exige a la Autoridad de Protección de Datos (APD) que reevalúe la infracción y la proporcionalidad antes de imponer nuevas sanciones.

En un procedimiento sumario, un tribunal de los Países Bajos prohibió a la plataforma de redes sociales X producir y distribuir, a través de Grok, contenido íntimo no consentido y pornografía infantil. El tribunal también prohibió a X ofrecer las funcionalidades de Grok mientras persistan estas infracciones.

La Autoridad Rumana de Protección de Datos (APD) ha multado a Renault Rumania con 637.262,50 RON (125.000 €) por no implementar las medidas de seguridad adecuadas tras una violación de datos relacionada con una aplicación gestionada por un subcontratista, que resultó en la publicación de datos personales divulgados en una plataforma en línea.

 

La ley brasileña de protección de menores en línea ha entrado oficialmente en vigor, y con ella, un decreto del Ministro de Justicia que apunta directamente a las decisiones de diseño utilizadas por los gigantes tecnológicos para captar la atención de los jóvenes.

La normativa traslada la seguridad en línea de los niños de la moderación reactiva de contenido a la regulación ex ante de la arquitectura de la plataforma, incluyendo restricciones sobre el desplazamiento infinito, la reproducción automática, las notificaciones manipuladoras, la publicidad dirigida mediante la elaboración de perfiles dirigida a menores y requisitos más estrictos de verificación de edad.

A principios de abril, el Ministerio de Industria y Tecnología de la Información de China, junto con otros ocho ministerios, publicó las "Medidas experimentales relativas a la evaluación ética y el suministro de tecnologías de inteligencia artificial".

El documento ofrece una visión general de lo que China entiende por "gobernanza ética de la IA" y los tipos de políticas y medidas técnicas que considera necesarias para combatir la trivialización de la ética a través de estrategias de marketing que prometen servicios respetuosos pero que en realidad no cumplen con las regulaciones de IA.

El 24 de abril, un jurado del estado estadounidense de Nuevo México ordenó a Meta pagar 375 millones de dólares en multas civiles, al considerar que la empresa no había protegido adecuadamente a los menores en sus plataformas. Esta multa se derivó de violaciones de una ley de prácticas comerciales desleales.

El 8 de abril, un tribunal federal de apelaciones en Washington, DC, se negó a bloquear la inclusión de la empresa de inteligencia artificial Anthropic en la lista negra de seguridad nacional del Pentágono, lo que representa una victoria para la administración Trump.

Sin embargo, otro tribunal de apelaciones emitió una decisión contraria en un procedimiento legal separado iniciado por Anthropic.

La empresa, desarrolladora del asistente de IA Claude, alega que el Secretario de Defensa se extralimitó en sus funciones al designar a la empresa como un riesgo para la cadena de suministro de seguridad nacional.

Anthropic se había negado a eliminar ciertas restricciones sobre el uso de sus productos, teniendo en cuenta que estos eran utilizados por la defensa estadounidense.