Allá Tribunal de Justiciacon sentencia dictada en asunto C-46/23 ha expresado su opinión sobre las competencias de la Autoridad Garante de los Datos Personales de un Estado miembro (en Italia, el Garante de la Privacidad), aclarando que puede ordenaroficinao incluso en defecto de solicitud previa del interesado presentada al efecto, el eliminación de datos procesados ilegalmentesi dicha medida es necesaria para cumplir su cometido, consistente en garantizar el pleno cumplimiento del RGPD.
Si esta autoridad determina que el procesamiento de datos no cumple con el RGPD, debe remediar la violación encontraday ello incluso sin una solicitud previa del interesado: de hecho, exigir tal solicitud implicaría que el responsable del tratamiento podría, en su ausencia, conservar los datos en cuestión y continuar tratándolos ilícitamente.
Además, la autoridad de control de un Estado miembro podrá ordenar la supresión de datos personales tratados ilegalmente. si provienen directamente del interesadotanto en caso venir de otra fuente.
La decisión se refiere al caso de una administración municipal húngara que, en 2020, decidió ayudar financieramente a las personas más frágiles por la pandemia de Covid-19 y, para ello, pidió al tesoro húngaro que le proporcionara datos personales necesarios para verificar las condiciones de elegibilidad para obtener ayuda.
Advertido por uno informela autoridad húngara de protección de datos había encontrado un violación de las reglas GDPRpor las administraciones implicadas, y por este motivo, había infligido sanciones sanciones financieras y les ordenó para borrar los datos de personas con derecho a ayudas que no habían solicitado la ayuda propiamente dicha: en particular, se constató que las administraciones implicadas no habían informado a los interesadosdentro del plazo de un mes fijado al efecto, ni del uso de sus datos, ni de la finalidad del mismo, ni de sus derechos en materia de protección de datos.
Sin embargo, una de las administraciones implicadas recurrió al Tribunal de Justicia al considerar que la autoridad de control no tenía competencia para ordenar la supresión de datos personales. sin solicitud previa presentada al efecto por el interesado.
Esto, contrariamente a lo afirmado por el peticionario, el principio expresado por el Tribunal de Justicia sobre las competencias de la Autoridad de Control (en Italia, el Garante de la Privacidad):
– El arte. 58, apartado 2, letras d) y g), del Reglamento (UE) 2016/679 (GDPR) debe interpretarse en el sentido de que la autoridad de control de un Estado miembro esta legitimadoen ejercicio de su facultad de adoptar las medidas correctoras previstas en estas disposiciones, un ordenar al controlador o procesador de datos que borre los datos personales que han sido tratados ilícitamente, y eso incluso si el interesado no ha presentado ninguna solicitud para ejercer sus derechos a tal efecto en aplicación del art. 17, apartado 1, de dicho Reglamento.
– El arte. 58, apartado 2, del RGPD debe interpretarse en el sentido de que la facultad de la autoridad de control de un Estado miembro de ordenar la supresión de datos personales, que hayan sido tratados ilegalmente, pueden afectar tanto datos recabados del interesado y datos entrantes de otra fuente.
Tags: Las facultades del Garante Privacidad caso datos tratados ilícitamente
