El Tribunal de Justicia de la Unión Europea ha tenido que salir a recordar algo que, visto el panorama, ya no debería darse por supuesto: el Reglamento General de Protección de Datos protege derechos fundamentales, pero no financia pequeños negocios del agravio.
La sentencia, dictada este 19 de marzo en el asunto C-526/24, Brillen Rottler, parte de un caso tan concreto como revelador. Un residente en Austria se suscribió al boletín informativo de una empresa familiar de óptica alemana. Trece días después, presentó una solicitud de acceso a sus datos personales al amparo del RGPD. La empresa la rechazó por considerarla excesiva y sostuvo que aquella persona seguía un patrón conocido: alta en boletines, petición de acceso y, después, reclamación de dinero por supuesto daño moral.
No es exactamente el David ciudadano enfrentándose al Goliat corporativo. Más bien parece la versión burocrática del buscador de chollos: donde unos ven una newsletter, otros creen ver una oportunidad de facturación sentimental.
Lo relevante es que Luxemburgo no ha comprado automáticamente el relato del perjudicado. El tribunal sostiene que incluso una primera solicitud de acceso puede considerarse abusiva si la empresa demuestra que no se presentó para conocer qué datos se estaban tratando ni para verificar si ese tratamiento era lícito, sino para crear artificialmente las condiciones de una futura reclamación indemnizatoria. Es decir: el derecho de acceso no desaparece, pero tampoco puede convertirse en una máquina expendedora de daños morales.
Dicho de un modo menos elegante que el del TJUE, pero seguramente más útil: el RGPD no es una tragaperras. No basta con dejar un correo electrónico en un formulario, esperar un par de semanas y presentarse después como mártir digital de la Europa de los datos.
Eso no significa, conviene subrayarlo, que las empresas hayan recibido barra libre para quitarse de encima cualquier petición incómoda. El tribunal no les entrega una licencia para la opacidad ni una coartada para el “vuelva usted mañana” en versión tecnológica. Lo que dice es otra cosa: que el abuso hay que probarlo, y que para apreciar esa intención abusiva pueden tenerse en cuenta las circunstancias del caso, incluido un eventual historial de solicitudes similares seguidas de reclamaciones económicas.
Ahí está el verdadero alcance del fallo. No refuerza a las compañías por amor al secreto, sino que intenta evitar que una garantía pensada para proteger a los ciudadanos de los abusos empresariales acabe reciclada en una industria del formulario rentable. En otras palabras, el TJUE no sale en defensa del gran capital digital: sale en defensa del sentido mismo del derecho.
La sentencia también pone orden en la parte más delirante del asunto: la indemnización. Porque sí, el RGPD reconoce el derecho a ser reparado cuando una infracción causa un daño material o moral. Pero, según recuerda el tribunal, ese daño hay que demostrarlo de verdad. No basta con invocar una molestia retórica, una indignación portátil o una angustia administrativa de usar y tirar. Y añade algo todavía más incómodo para la cultura contemporánea del agravio automático: no puede obtener reparación quien ha contribuido decisivamente con su propia conducta a provocar el perjuicio que luego denuncia.
La frase tiene una eficacia casi subversiva en estos tiempos. Viene a decir que no todo fastidio termina siendo indemnizable, y que no toda estrategia de victimización merece premio. Una mala noticia para los profesionales del “me siento vulnerado, luego facturo”. Como sentencia del TJUE que es, además, la interpretación es ampliable a otros campos.
El caso deberá resolverlo ahora el tribunal de Arnsberg, que fue quien planteó la cuestión prejudicial. Pero el mensaje político y jurídico ya está emitido: la protección de datos es un derecho serio, no un decorado para operaciones oportunistas. Durante años hemos visto a empresas convertir la información personal en combustible comercial. Ahora el TJUE advierte de que tampoco se puede convertir la defensa de ese derecho en una pequeña cadena de montaje del resarcimiento.
En el fondo, la sentencia retrata bastante bien una patología de época. Todo acaba mercantilizado: los datos, la atención, el enfado y hasta la herida moral. El ciudadano deja su correo para recibir ofertas de gafas y, antes de que le llegue la segunda promoción, ya aparece en escena una posible reclamación por sufrimiento. El capitalismo de plataforma tenía que desembocar, tarde o temprano, en esto: una economía circular del consentimiento, la ofensa y la minuta.
Luxemburgo, con su prosa de costumbre ,seca, prudente y enemiga del espectáculo, ha puesto una valla mínima pero necesaria a través de esta pequeña joya jurídica. Ha recordado que los derechos fundamentales no están para decorar demandas prefabricadas ni para sostener una pyme del daño moral en serie. Y que el RGPD, pese a lo que algunos habían entendido, no se redactó para que cualquier formulario web acabara funcionando como caja registradora.