Última revisión
TJUE: la autoridad de control puede ordenar la supresión de datos de carácter personal sin la solicitud previa del interesado
El TJUE dictamina que las autoridades de control de los Estados miembros pueden ordenar la supresión de datos personales tratados ilícitamente sin requerir una solicitud previa del afectado.
El Tribunal de Justicia de la Unión Europea en el asunto C-46/23, de 14 de marzo de 2024, ECLI:EU:C:2024:239, ha confirmado que las autoridades de control tienen la facultad de ordenar la supresión de datos personales que han sido tratados ilícitamente, incluso sin una solicitud expresa del interesado.
Esta resolución surge de un caso en Hungría donde la Administración de Újpest recopiló datos personales para un programa de ayuda durante la pandemia de COVID-19, pero no informó adecuadamente a los afectados sobre el tratamiento de sus datos, violando el Reglamento General de Protección de Datos.
La autoridad de control húngara, tras recibir una denuncia, investigó y encontró infracciones en el tratamiento de datos, ordenando la supresión de los mismos y sancionando a las entidades responsables.
La Administración de Újpest recurrió, argumentando que la autoridad no tenía facultad para ordenar la supresión sin una solicitud del interesado, basándose en una sentencia previa del Tribunal Supremo húngaro. Sin embargo, el Tribunal Constitucional húngaro anuló esa sentencia, respaldando la competencia de la autoridad de control.
El TJUE, al resolver las cuestiones prejudiciales planteadas por el Tribunal General de la Capital de Hungría, estableció que el artículo 58.2 del RGPD establece una distinción entre los poderes correctivos que pueden ejercerse de oficio, en particular los contemplados en el artículo 58, apartado 2, letras d) y g), y aquellos de los que solo puede hacerse uso tras una solicitud presentada por el interesado para ejercer sus derechos con arreglo a dicho Reglamento, como los que se contemplan en el artículo 58, apartado 2, letra c), del citado Reglamento:
«(...) del tenor del artículo 58, apartado 2, letra c), del RGPD se desprende expresamente que el ejercicio del poder correctivo contemplado en esta disposición, esto es, "ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento", presupone que el interesado ha invocado con anterioridad sus derechos, presentando una solicitud en ese sentido, y que tal solicitud no ha sido estimada antes de la decisión de la autoridad de control prevista en dicha disposición. Por otro lado, a diferencia de esta disposición, el tenor del artículo 58, apartado 2, letras d) y g), del citado Reglamento no permite considerar que una intervención de la autoridad de control de un Estado miembro, con el fin de ejercer los poderes que allí se contemplan, se limite únicamente a los supuestos en los que el interesado haya presentado una solicitud a tal efecto, ya que el tenor de dichos preceptos no contiene referencia alguna a tal solicitud».
Por lo que, el RGPD permite a las autoridades de control ordenar la supresión de datos personales tratados ilícitamente, independientemente de si los datos se obtuvieron del interesado o de otra fuente. Esta interpretación refuerza el principio de responsabilidad proactiva del responsable del tratamiento y garantiza un alto nivel de protección de los datos personales, en línea con los derechos fundamentales reconocidos en la Unión Europea.
La decisión del TJUE asegura que las autoridades de control pueden actuar eficazmente para proteger la privacidad de los ciudadanos, incluso cuando estos no han presentado una solicitud de supresión, y subraya la importancia de la conformidad con el RGPD para prevenir el tratamiento ilícito de datos personales.