O Tribunal de Justiça da União Europeia (TJEU) afirmou que as autoridades de proteção de dados (DPAs) têm o poder de ordenar a exclusão de dados pessoais por iniciativa própria, amparadas pelos artigos 58(2)(d) e (g) do Regulamento Geral de Proteção de Dados (GDPR). Esta decisão veio após o caso envolvendo a administração de Újpest, na Hungria, que obteve dados pessoais dos residentes húngaros da Tesouraria Húngara e do escritório distrital de Budapeste para determinar a elegibilidade para um programa de apoio financeiro devido à pandemia da COVID-19.

A Autoridade de Proteção de Dados da Hungria (Hungarian DPA) iniciou uma investigação e constatou que a administração de Újpest falhou em informar os titulares dos dados sobre o processamento de suas informações pessoais, violando os artigos 5, 14 e 12(1) do GDPR. Como resultado, a DPA ordenou a exclusão dos dados pessoais dos indivíduos que tinham direito ao apagamento, mesmo sem um pedido formal desses titulares.

O caso foi levado à justiça, e, eventualmente, o Tribunal Constitucional húngaro reconheceu o poder da DPA de ordenar a exclusão de dados processados ilegalmente, independentemente de uma solicitação do titular dos dados. Isso contrariou uma decisão anterior da Suprema Corte da Hungria e levou a uma solicitação de esclarecimento ao CJEU sobre a interpretação dos artigos 17 e 58(2) do GDPR.

O CJEU esclareceu que os poderes corretivos sob os artigos 58(2)(d) e (g) do GDPR podem ser exercidos pela DPA por iniciativa própria, sem a necessidade de um pedido prévio do titular dos dados.

Com informações - GDPRHub