'En 2020, la Administración municipal de Újpest (Hungría) decidió ayudar económicamente a personas vulnerables
como consecuencia de la pandemia de COVID-19. A tal fin solicitó al Tesoro Público Húngaro y a la Oficina del
Distrito IV de la Delegación del Gobierno en Budapest Capital que le facilitasen los datos personales necesarios con
el fin de verificar los requisitos para poder optar a la ayuda.
Alertada por una denuncia, la autoridad húngara encargada de la protección de datos («autoridad de control»)
comprobó que tanto la Administración de Újpest como el Tesoro Público Húngaro y la Oficina de la Delegación del
Gobierno habían infringido las normas del RGPD. 1 Ello dio lugar a la imposición de multas.
La autoridad de control señaló que la Administración de Újpest no había informado a los interesados, en el plazo de
un mes señalado a tal efecto, ni de la utilización de sus datos y la finalidad de esta, ni de sus derechos en materia de
protección de datos. Además, ordenó a la Administración de Újpest que suprimiera los datos de las personas que
podían optar a la ayuda, pero que no la habían solicitado.
La Administración de Újpest impugna esta resolución ante el Tribunal General de la Capital (Hungría). Considera que
la autoridad de control no está facultada para ordenar la supresión de los datos personales cuando el interesado no
ha presentado una solicitud previa a tal efecto.
El tribunal húngaro solicita al Tribunal de Justicia que interprete el RGPD.
En su sentencia, el Tribunal de Justicia responde que la autoridad de control de un Estado miembro puede
ordenar de oficio, es decir, aun cuando el interesado no haya presentado previamente una solicitud a tal
efecto, la supresión de datos tratados ilícitamente si esta medida es necesaria para cumplir su misión de velar
por el pleno cumplimiento del RGPD. Si dicha autoridad comprueba que un tratamiento de datos no respeta el
RGPD, debe subsanar la infracción detectada, incluso sin que medie la solicitud previa del interesado. Exigir que
medie esa solicitud implicaría que, a falta de esta, el responsable del tratamiento podría conservar los datos en
cuestión y seguir tratándolos ilícitamente.
Por lo demás, la autoridad de control de un Estado miembro puede ordenar la supresión de datos personales
tratados ilícitamente tanto cuando estos procedan directamente del interesado como cuando procedan de otra
fuente
NOTA: La remisión prejudicial permite que los tribunales de los Estados miembros, en el contexto de un litigio del
que estén conociendo, interroguen al Tribunal de Justicia acerca de la interpretación del Derecho de la Unión o
sobre la validez de un acto de la Unión. El Tribunal de Justicia no resuelve el litigio nacional, y es el tribunal nacional
quien debe resolver el litigio de conformidad con la decisión del Tribunal de Justicia. Dicha decisión vincula
igualmente a los demás tribunales nacionales que conozcan de un problema similar.
Documento no oficial, destinado a los medios de comunicación y que no vincula al Tribunal de Justicia.
El texto íntegro y, en su caso, el resumen de la sentencia se publican en el sitio CURIA el día de su pronunciamiento.
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos).'
Fuente: Nota de prensa del Tribunal de Justicia de la UE de 14/03/2024
Entradas
No hay comentarios:
Publicar un comentario