La autoridad de control de un Estado miembro está facultada, en ejercicio de sus poderes correctivos, para ordenar al responsable o al encargado del tratamiento que suprima datos personales que hayan sido tratados ilícitamente, aun cuando el interesado no haya presentado ninguna solicitud a tal efecto para ejercer sus derechos.
El TJUE subraya que el ejercicio de los poderes correctivos, en el sentido del artículo 58, apartado 2, letras d) y g), del RGPD (LA LEY 6637/2016), no puede depender del hecho de que los datos personales en cuestión hayan sido o no obtenidos directamente del interesado. Es una obligación autónoma del responsable del tratamiento la de suprimir los datos personales que hayan sido tratados ilícitamente, sin ningún condicionante relativo al origen de los datos recogidos.
Lo que motiva el pronunciamiento del TJUE es relevante porque el litigio surge porque la Administración de Újpest decidió conceder una ayuda económica a los residentes que pertenecieran a alguna categoría de personas vulnerables a causa de la pandemia de COVID-19 y que cumplieran determinados requisitos para poder optar a ella, y para ello se dirigió al Tesoro Público Húngaro y a la Delegación del Gobierno en Budapest para obtener los datos personales necesarios con el fin de controlar los requisitos para poder optar a la ayuda. Estos datos incluían, en particular, los datos básicos de identificación y los números de la seguridad social de las personas físicas. El Tesoro Público Húngaro y la Oficina de la Delegación del Gobierno facilitaron los datos solicitados.
La Administración de Újpest agregó los datos obtenidos en una base de datos diseñada para la ejecución de su programa de ayudas y creó un identificador y un código de barras específico para cada conjunto de datos.
La autoridad de control húngara ordenó a la Administración de Újpest que suprimiera los datos personales de los interesados que, sobre la base de la información facilitada por la Oficina de la Delegación del Gobierno y el Tesoro Público Húngaro, habrían tenido derecho a la ayuda, pero que no la habían solicitado. Consideró que tanto el Tesoro Público Húngaro como la Oficina de la Delegación del Gobierno habían infringido las disposiciones relativas al tratamiento de los datos personales de dichas personas. Asimismo, condenó a la Administración de Újpest y al Tesoro Público Húngaro a pagar una multa en concepto de protección de datos.
No es la primera vez que el Tribunal de Justicia precisa que, cuando una autoridad nacional de control considera que el interesado no goza de un nivel de protección adecuado, está obligada a reaccionar de modo apropiado con el fin de subsanar la insuficiencia detectada, con independencia del origen o de la naturaleza de dicha insuficiencia, y ahora añade que los poderes correctivos sí pueden ser ejercidos de oficio sin necesidad de una solicitud presentada por el interesado para ejercer sus derechos.
Solo de este modo se pueden solventar situaciones en las que los datos hayan sido tratados ilícitamente, y el interesado no ha sido necesariamente informado de que están siendo tratados sus datos personales.
En aras a garantizar la aplicación efectiva del RGPD, resulta especialmente importante que la autoridad disponga de poderes efectivos para actuar eficazmente contra las infracciones del Reglamento, y, en particular, para ponerles fin, incluso en aquellos casos en que los interesados no hayan sido informados del tratamiento de sus datos personales, no tengan conocimiento de tal tratamiento o, en cualquier caso, no puedan solicitar la supresión de esos datos.