Edición provisional
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Quinta)
de 14 de marzo de 2024 (*)
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 58, apartado 2, letras d) y g) — Poderes de la autoridad de control de un Estado miembro — Artículo 17, apartado 1 — Derecho de supresión (“el derecho al olvido”) — Supresión de datos personales que han sido tratados ilícitamente — Poder de la autoridad nacional de control para ordenar al responsable o al encargado del tratamiento que suprima tales datos sin solicitud previa del interesado»
En el asunto C‑46/23,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Fővárosi Törvényszék (Tribunal General de la Capital, Hungría), mediante resolución de 8 de diciembre de 2022, recibida en el Tribunal de Justicia el 31 de enero de 2023, en el procedimiento entre
Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala
y
Nemzeti Adatvédelmi és Információszabadság Hatóság,
EL TRIBUNAL DE JUSTICIA (Sala Quinta),
integrado por el Sr. E. Regan, Presidente de Sala, y los Sres. Z. Csehi, M. Ilešič (Ponente), I. Jarukaitis y D. Gratsias, Jueces;
Abogada General: Sra. L. Medina;
Secretario: Sr. A. Calot Escobar;
habiendo considerado los escritos obrantes en autos;
consideradas las observaciones presentadas:
– en nombre de la Nemzeti Adatvédelmi és Információszabadság Hatóság, por el Sr. G. J. Dudás, ügyvéd;
– en nombre del Gobierno húngaro, por la Sra. Zs. Biró-Tóth y el Sr. M. Z. Fehér, en calidad de agentes;
– en nombre del Gobierno español, por el Sr. Á. Ballesteros Panizo, en calidad de agente;
– en nombre del Gobierno austriaco, por el Sr. A. Posch y las Sras. J. Schmoll y C. Gabauer, en calidad de agentes;
– en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;
– en nombre del Gobierno portugués, por las Sras. P. Barros da Costa, M. J. Ramos y C. Vieira Guerra, en calidad de agentes;
– en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, C. Kovács y H. Kranenborg, en calidad de agentes;
vista la decisión adoptada por el Tribunal de Justicia, oída la Abogada General, de que el asunto sea juzgado sin conclusiones;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 58, apartado 2, letras c), d) y g), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).
2 Esta petición se ha presentado en el contexto de un litigio entre la Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (Administración municipal de Újpest, Distrito IV de Budapest Capital, Hungría; en lo sucesivo, «Administración de Újpest») y la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoridad Nacional de Protección de Datos y Libertad de Información, Hungría; en lo sucesivo, «autoridad de control húngara») en relación con una resolución por la que esta ordenó a la Administración de Újpest que suprimiera una serie de datos personales que habían sido tratados ilícitamente.
Marco jurídico
3 Los considerandos 1, 10 y 129 de la RGPD tienen el siguiente tenor:
«(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea […] y el artículo 16 [TFUE], apartado 1, […] establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
[…]
(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]
[…]
(129) Para garantizar la supervisión y ejecución coherentes del presente Reglamento en toda la Unión, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos, incluidos poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos, especialmente en casos de reclamaciones de personas físicas, y sin perjuicio de las competencias de las autoridades encargadas de la persecución de los delitos con arreglo al Derecho de los Estados miembros para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y ejercitar acciones judiciales. […]»
4 El capítulo I del RGPD, titulado «Disposiciones generales», comprende sus artículos 1 a 4.
5 A tenor del artículo 1 del citado Reglamento, que lleva por título «Objeto»:
«1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
[…]»
6 El artículo 4 de este Reglamento, con la rúbrica «Definiciones», dispone, en sus puntos 2, 7 y 21, lo siguiente:
«A efectos del presente Reglamento se entenderá por:
[…]
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
[…]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
[…]
21) “autoridad de control”: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;
[…]».
7 El capítulo II del RGPD, con el título «Principios», incluye, ente otros, el artículo 5 de este, titulado a su vez «Principios relativos al tratamiento», que establece lo siguiente:
«1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; […] (“limitación de la finalidad”);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);
[…]
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»
8 Incluido en el capítulo III del RGPD, bajo la rúbrica «Derechos del interesado», el artículo 17 de dicho Reglamento, titulado «Derecho de supresión (“el derecho al olvido”)», establece lo siguiente en su apartado 1:
«El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
[…]».
9 El capítulo VI del RGPD, titulado «Autoridades de control independientes», engloba los artículos 51 a 59 de este.
10 El artículo 51 de este Reglamento, con la rúbrica «Autoridad de control», dispone lo siguiente en sus apartados 1 y 2:
«1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes […] supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.
2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII.»
11 El artículo 57 del citado Reglamento, bajo el título «Objetivos», está redactado, en su apartado 1, en los siguientes términos:
«1. Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:
a) controlar la aplicación del presente Reglamento y hacerlo aplicar;
[…]
h) llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;
[…]».
12 El artículo 58 del mismo Reglamento, titulado «Poderes», establece lo siguiente en su apartado 2:
«Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
[…]
c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;
[…]
g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo al artículo 17, apartado 2, y al artículo 19;
[…]
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;
[…]».
Litigio principal y cuestiones prejudiciales
13 En febrero de 2020, la Administración de Újpest decidió conceder una ayuda económica a los residentes que pertenecieran a alguna categoría de personas vulnerables a causa de la pandemia de COVID‑19 y que cumplieran determinados requisitos para poder optar a ella.
14 A tal fin se dirigió al Magyar Államkincstár (Tesoro Público Húngaro) y al Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (Oficina del Distrito IV de la Delegación del Gobierno en Budapest Capital, Hungría; en lo sucesivo, «Oficina de la Delegación del Gobierno») para obtener los datos personales necesarios con el fin de controlar los requisitos para poder optar a la ayuda. Estos datos incluían, en particular, los datos básicos de identificación y los números de la seguridad social de las personas físicas. El Tesoro Público Húngaro y la Oficina de la Delegación del Gobierno facilitaron los datos solicitados.
15 Para abonar la ayuda económica, la Administración de Újpest adoptó el Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet (Decreto Municipal n.º 16/2020, de 30 de abril, sobre la introducción del Programa «Újpest+ Megbecsülés»), que fue modificado y completado por el 30/2020. (VII. 15.) önkormányzati rendelet (Decreto Municipal n.º 30/2020, de 15 de julio). Estos Decretos recogían los criterios de admisibilidad para optar a la ayuda así establecida. La Administración de Újpest agregó los datos obtenidos en una base de datos diseñada para la ejecución de su programa de ayudas y creó un identificador y un código de barras específico para cada conjunto de datos.
16 Alertada por una denuncia, la autoridad de control húngara inició de oficio, el 2 de septiembre de 2020, una investigación sobre el tratamiento de los datos personales en el que se basaba dicho programa de ayudas. En una resolución adoptada el 22 de abril de 2021, la citada autoridad declaró que la Administración de Újpest había infringido varias disposiciones de los artículos 5 y 14 del RGPD y el artículo 12, apartado 1, del mismo Reglamento. Señaló, en particular, que la Administración de Újpest no había informado a los interesados, en el plazo de un mes, de las categorías de datos personales tratados en el marco de dicho programa, de los fines del tratamiento en cuestión ni de los procedimientos mediante los cuales estas personas podían ejercer sus derechos a este respecto.
17 La autoridad de control húngara ordenó a la Administración de Újpest, con arreglo al artículo 58, apartado 2, letra d), del RGPD, que suprimiera los datos personales de los interesados que, sobre la base de la información facilitada por la Oficina de la Delegación del Gobierno y el Tesoro Público Húngaro, habrían tenido derecho a la ayuda, pero que no la habían solicitado. Consideró que tanto el Tesoro Público Húngaro como la Oficina de la Delegación del Gobierno habían infringido las disposiciones relativas al tratamiento de los datos personales de dichas personas. Asimismo, condenó a la Administración de Újpest y al Tesoro Público Húngaro a pagar una multa en concepto de protección de datos.
18 Mediante un recurso contencioso-administrativo interpuesto ante el Fővárosi Törvényszék (Tribunal General de la Capital, Hungría), que es el órgano jurisdiccional remitente, la Administración de Újpest impugna la resolución de la autoridad de control húngara, alegando que esta no está facultada para ordenar la supresión de los datos personales en virtud del artículo 58, apartado 2, letra d), del RGPD cuando el interesado no ha presentado una solicitud, en el sentido del artículo 17 de dicho Reglamento. A este respecto, se basa en la sentencia Kfv.II.37.001/2021/6. de la Kúria (Tribunal Supremo, Hungría), mediante la cual esta había declarado que la autoridad de control húngara no disponía de tal facultad, con lo que confirmaba una sentencia del órgano jurisdiccional remitente. Según la demandante en el litigio principal, el derecho de supresión previsto en el artículo 17 del citado Reglamento se concibe exclusivamente como un derecho del interesado.
19 A raíz de un recurso constitucional interpuesto por la autoridad de control húngara, el Alkotmánybíróság (Tribunal Constitucional, Hungría) anuló la referida sentencia de la Kúria (Tribunal Supremo) y declaró que dicha autoridad tiene la facultad de ordenar de oficio la supresión de los datos personales que hayan sido tratados ilícitamente, aun cuando el interesado no haya presentado una solicitud en este sentido. El Alkotmánybíróság (Tribunal Constitucional) se basó a este respecto en el dictamen n.º 39/2021 del Comité Europeo de Protección de Datos, según el cual el artículo 17 del RGPD establece dos supuestos de supresión distintos: uno, que es la supresión a petición del interesado, y otro, que supone una obligación autónoma del responsable del tratamiento, de modo que el artículo 58, apartado 2, letra g), del RGPD debe considerarse una base jurídica válida para la supresión de oficio de datos personales que hayan sido tratados ilícitamente.
20 Tras la resolución del Alkotmánybíróság (Tribunal Constitucional) mencionada en el apartado anterior, el órgano jurisdiccional remitente sigue albergando dudas acerca de la interpretación de los artículos 17 y 58, apartado 2, del RGPD. Considera que el derecho de supresión de los datos personales se define en el artículo 17, apartado 1, del RGPD como un derecho del interesado y que esta disposición no incluye dos supuestos distintos de supresión.
21 El órgano jurisdiccional remitente añade que una persona puede tener interés en que los datos personales que le conciernen sean tratados, aun cuando la autoridad nacional de control, debido a la ilicitud del tratamiento, ordene al responsable de este la supresión de tales datos. En tal caso, la citada autoridad ejercería el derecho de esa persona contra la voluntad de esta.
22 Así pues, el órgano jurisdiccional remitente pretende que se dilucide si, con independencia del ejercicio de los derechos del interesado, la autoridad de control de un Estado miembro puede exigir al responsable o al encargado del tratamiento que suprima los datos personales que hayan sido tratados ilícitamente y, en caso de respuesta afirmativa, sobre qué base jurídica, teniendo en cuenta, en particular, que el artículo 58, apartado 2, letra c), del RGPD contempla expresamente una solicitud de ejercicio de sus derechos presentada por esa persona y que el artículo 58, apartado 2, letra d), del citado Reglamento establece de manera general que las operaciones de tratamiento deben ajustarse a las disposiciones de dicho Reglamento, mientras que el artículo 58, apartado 2, letra g), del mismo Reglamento se remite directamente al artículo 17 de este, cuya aplicación exige una solicitud expresa del interesado.
23 En el supuesto de que la autoridad nacional de control pueda, pese a no haber solicitud del interesado, ordenar al responsable o al encargado del tratamiento que suprima los datos personales que hayan sido tratados ilícitamente, el órgano jurisdiccional remitente se pregunta si, en la fecha en que se ordena la supresión, puede hacerse una distinción en función de que los datos personales se hayan obtenido del interesado —habida cuenta de la obligación del responsable del tratamiento que establece el artículo 13, apartado 2, letra b), del RGPD— o de otra persona —en vista de la obligación establecida en el artículo 14, apartado 2, letra c), de dicho Reglamento—.
24 En estas circunstancias, el Fővárosi Törvényszék (Tribunal General de la Capital) ha decidido suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) ¿Debe interpretarse el artículo 58, apartado 2, en particular las letras c), d) y g), del [RGPD], en el sentido de que la autoridad nacional de control, en ejercicio de sus poderes correctivos, puede ordenar al responsable o encargado del tratamiento que suprima los datos personales tratados ilícitamente incluso sin que medie una solicitud expresa del interesado con arreglo al artículo 17, apartado 1, del RGPD?
2) En el supuesto de que se responda a la primera cuestión prejudicial que la autoridad de control puede ordenar al responsable o encargado del tratamiento que suprima los datos personales tratados ilícitamente incluso sin que medie solicitud del interesado, ¿es esto independiente de que los datos personales se hayan obtenido o no del interesado?»
Sobre las cuestiones prejudiciales
Primera cuestión prejudicial
25 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta si el artículo 58, apartado 2, letras c), d) y g), del RGPD debe interpretarse en el sentido de que la autoridad de control de un Estado miembro está facultada, en ejercicio de sus poderes correctivos previstos en tales disposiciones, para ordenar al responsable o al encargado del tratamiento que suprima datos personales que hayan sido tratados ilícitamente, aun cuando el interesado no haya presentado ninguna solicitud a tal efecto para ejercer sus derechos en virtud del artículo 17, apartado 1, de ese mismo Reglamento.
26 Esta cuestión se enmarca en el contexto de un litigio que versa sobre la legalidad de una resolución de la autoridad de control húngara por la que se ordena a la Administración de Újpest, con arreglo al artículo 58, apartado 2, letra d), del RGPD, que suprima los datos personales que han sido tratados ilícitamente en el marco del programa de ayudas descrito en los apartados 13 a 15 de la presente sentencia.
27 Según el artículo 17, apartado 1, del RGPD, el interesado tiene derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan y el responsable del tratamiento está obligado a suprimir sin dilación indebida tales datos, en particular, en virtud de la letra d) de dicha disposición, cuando los datos en cuestión hayan sido «tratados ilícitamente».
28 A tenor del artículo 58, apartado 2, letra d), del RGPD, la autoridad de control puede ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones de este Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado. Además, el artículo 58, apartado 2, letra g), de dicho Reglamento establece que la autoridad de control está facultada para ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 del RGPD y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a los artículos 17, apartado 2, y 19 de este.
29 En este contexto, el órgano jurisdiccional remitente se pregunta si la autoridad de control de un Estado miembro está facultada, en ejercicio de sus poderes correctivos, como los previstos en el artículo 58, apartado 2, letras c), d) y g), del RGPD, para ordenar de oficio —esto es, sin que medie una solicitud previa del interesado a tales efectos— al responsable o al encargado del tratamiento que suprima los datos personales que hayan sido tratados ilícitamente.
30 Según reiterada jurisprudencia, para interpretar una disposición del Derecho de la Unión no solo debe tenerse en cuenta su tenor, sino también el contexto en el que se inscribe y los objetivos perseguidos por la normativa de la que forma parte (sentencia de 13 de julio de 2023, G GmbH, C‑134/22, EU:C:2023:567, apartado 25 y jurisprudencia citada).
31 Con carácter preliminar, es preciso señalar que las disposiciones pertinentes del Derecho de la Unión, mencionadas en los apartados 27 y 28 de la presente sentencia, deben interpretarse en relación con el artículo 5, apartado 1, del RGPD, que enuncia los principios relativos al tratamiento, entre los que figura, en particular, en la letra a), el que establece que los datos personales deben ser tratados de manera lícita, leal y transparente en relación con el interesado.
32 A tenor del apartado 2 del citado artículo 5, el responsable del tratamiento, conforme al principio de «responsabilidad proactiva» enunciado en dicha disposición, es responsable del cumplimiento de lo dispuesto en el apartado 1 de ese mismo artículo y debe ser capaz de demostrar que respeta cada uno de los principios establecidos en dicho apartado, correspondiéndole, por lo demás, la carga de tal prueba [sentencia de 4 de mayo de 2023, Bundesrepublik Deutschland (Buzón electrónico judicial), C‑60/22, EU:C:2023:373, apartado 53 y jurisprudencia citada].
33 Cuando el tratamiento de datos personales no cumple los principios establecidos, en particular, en el artículo 5 del RGPD, las autoridades de control de los Estados miembros están facultadas para intervenir, de conformidad con sus funciones y poderes, que se recogen en los artículos 57 y 58 de dicho Reglamento. Entre estas funciones figura, entre otras, con arreglo al artículo 57, apartado 1, letra a), la de controlar la aplicación del RGPD y hacerlo aplicar (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 108).
34 A este respecto, el Tribunal de Justicia ya ha precisado que, cuando una autoridad nacional de control considera, al finalizar su investigación, que el interesado no goza de un nivel de protección adecuado, está obligada, según el Derecho de la Unión, a reaccionar de modo apropiado con el fin de subsanar la insuficiencia detectada, con independencia del origen o de la naturaleza de dicha insuficiencia. A tal efecto, el artículo 58, apartado 2, del referido Reglamento enumera los diferentes poderes correctivos de que dispone la autoridad de control. Corresponde a dicha autoridad de control elegir el medio adecuado para llevar a cabo con toda la diligencia exigible su misión de velar por el pleno cumplimiento del citado Reglamento (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartados 111 y 112).
35 Por lo que respecta, más concretamente, a la cuestión de si tales poderes correctivos pueden ser ejercidos de oficio por la autoridad de control de que se trate, es preciso señalar, antes de nada, que, a la luz de su tenor, el artículo 58, apartado 2, del RGPD establece una distinción entre los poderes correctivos que pueden ejercerse de oficio, en particular los contemplados en el artículo 58, apartado 2, letras d) y g), y aquellos de los que solo puede hacerse uso tras una solicitud presentada por el interesado para ejercer sus derechos con arreglo a dicho Reglamento, como los que se contemplan en el artículo 58, apartado 2, letra c), del citado Reglamento.
36 En efecto, por un lado, del tenor del artículo 58, apartado 2, letra c), del RGPD se desprende expresamente que el ejercicio del poder correctivo contemplado en esta disposición, esto es, «ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento», presupone que el interesado ha invocado con anterioridad sus derechos, presentando una solicitud en ese sentido, y que tal solicitud no ha sido estimada antes de la decisión de la autoridad de control prevista en dicha disposición. Por otro lado, a diferencia de esta disposición, el tenor del artículo 58, apartado 2, letras d) y g), del citado Reglamento no permite considerar que una intervención de la autoridad de control de un Estado miembro, con el fin de ejercer los poderes que allí se contemplan, se limite únicamente a los supuestos en los que el interesado haya presentado una solicitud a tal efecto, ya que el tenor de dichos preceptos no contiene referencia alguna a tal solicitud.
37 A continuación, por lo que respecta al contexto de estas disposiciones, debe señalarse que los términos del artículo 17, apartado 1, del citado Reglamento distinguen, mediante dos frases diferentes, por una parte, el derecho del interesado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos que le conciernan y, por otra parte, la obligación del responsable del tratamiento de suprimir sin dilación indebida tales datos personales. De ello debe deducirse que esta disposición regula dos supuestos independientes, esto es, por un lado, la supresión de los datos a petición del interesado y, por otro lado, la supresión derivada de la existencia de una obligación autónoma, que recae sobre el responsable del tratamiento, con independencia de cualquier solicitud del interesado.
38 En efecto, como señaló el Comité Europeo de Protección de Datos en su dictamen n.º 39/2021, tal distinción es necesaria, dado que, entre los supuestos contemplados en este artículo 17, apartado 1, algunos incluyen situaciones en las que el interesado no ha sido necesariamente informado de que están siendo tratados datos personales que le conciernen, de modo que el responsable del tratamiento es el único que puede comprobar la existencia de tal tratamiento. Así ocurre, concretamente, en el supuesto de que tales datos hayan sido tratados ilícitamente, contemplado en el citado artículo 17, apartado 1, letra d).
39 Corrobora esta interpretación el artículo 5, apartado 2, del RGPD, en relación con el apartado 1, letra a), de dicho artículo, en virtud del cual el responsable del tratamiento debe cerciorarse, en particular, de la licitud del tratamiento de datos que efectúa [véase, en este sentido, la sentencia de 4 de mayo de 2023, Bundesrepublik Deutschland (Buzón electrónico judicial), C‑60/22, EU:C:2023:373, apartado 54].
40 Por último, también respalda esta interpretación el objetivo perseguido por el artículo 58, apartado 2, del RGPD, tal como se desprende de su considerando 129, esto es, garantizar la conformidad del tratamiento de datos personales con dicho Reglamento y la regularización de las situaciones de incumplimiento de este para que se ajusten al Derecho de la Unión, mediante la intervención de las autoridades de control nacionales.
41 A este respecto, debe precisarse que, aunque la elección del medio adecuado y necesario corresponde a la autoridad de control y es esta la que debe proceder a esa elección tomando en consideración todas las circunstancias del caso concreto, dicha autoridad sigue estando obligada a llevar a cabo con toda la diligencia exigible su misión de velar por el pleno cumplimiento del RGPD (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 112). Por tanto, para garantizar la aplicación efectiva del RGPD, resulta especialmente importante que esta autoridad disponga de poderes efectivos para actuar eficazmente contra las infracciones de este Reglamento, y, en particular, para ponerles fin, incluso en aquellos casos en que los interesados no hayan sido informados del tratamiento de sus datos personales, no tengan conocimiento de tal tratamiento o, en cualquier caso, no puedan solicitar la supresión de esos datos.
42 En estas circunstancias, debe considerarse que la facultad de hacer uso de algunos de los poderes correctivos a que se refiere el artículo 58, apartado 2, del RGPD, entre otros los que figuran en las letras d) y g) de esta disposición, puede ser ejercida de oficio por la autoridad de control de un Estado miembro en la medida en que se requiera el ejercicio de oficio de tal facultad para permitirle cumplir su misión. Por consiguiente, cuando dicha autoridad considere, al finalizar su investigación, que ese tratamiento no cumple las exigencias del citado Reglamento, está obligada, según el Derecho de la Unión, a adoptar las medidas adecuadas para subsanar la infracción detectada, con independencia de la existencia de una solicitud previa presentada por el interesado para ejercer sus derechos con arreglo al artículo 17, apartado 1, de dicho Reglamento.
43 Corroboran esta interpretación, por lo demás, los objetivos perseguidos por el RGPD, tal como se desprenden, entre otros, de su artículo 1 y de sus considerandos 1 y 10, que aluden a la garantía de un elevado nivel de protección en lo que respecta al derecho fundamental de las personas físicas a la protección de los datos de carácter personal que les conciernan, consagrado en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales y en el artículo 16 TFUE, apartado 1 (véanse, en este sentido, las sentencias de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 207, y de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 73).
44 Una interpretación contraria a la recogida en el apartado 42 de la presente sentencia, según la cual tal autoridad de control solo estaría facultada para actuar tras una solicitud presentada a tal efecto por el interesado, pondría en peligro la consecución de los objetivos citados en los apartados 40 y 43 de la presente sentencia, en particular en una situación como la que es objeto del litigio principal, en la que la supresión de datos personales que han sido tratados ilícitamente afecta a un número potencialmente elevado de personas que no han invocado su derecho a la supresión con arreglo al artículo 17, apartado 1, del RGPD.
45 En efecto, como ha alegado, en esencia, la Comisión en sus observaciones escritas, la exigencia de una solicitud previa presentada por los interesados, en el sentido del artículo 17, apartado 1, del RGPD, supondría que el responsable del tratamiento podría, a falta de tal solicitud, conservar los datos personales de que se trate y seguir tratándolos ilícitamente. Tal interpretación menoscabaría la efectividad de la protección prevista por el citado Reglamento, ya que conduciría a privar de protección a las personas inactivas, aunque sus datos personales hubiesen sido tratados ilícitamente.
46 Habida cuenta de las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 58, apartado 2, letras d) y g), del RGPD debe interpretarse en el sentido de que la autoridad de control de un Estado miembro está facultada, en ejercicio de sus poderes correctivos previstos en tales disposiciones, para ordenar al responsable o al encargado del tratamiento que suprima datos personales que hayan sido tratados ilícitamente, aun cuando el interesado no haya presentado ninguna solicitud a tal efecto para ejercer sus derechos en virtud del artículo 17, apartado 1, de ese mismo Reglamento.
Segunda cuestión prejudicial
47 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 58, apartado 2, del RGPD debe interpretarse en el sentido de que el poder de la autoridad de control de un Estado miembro para ordenar la supresión de datos personales que han sido tratados ilícitamente puede tener por objeto tanto datos obtenidos del interesado como datos procedentes de otra fuente.
48 A este respecto, debe señalarse, antes de nada, que el tenor de las disposiciones mencionadas en el apartado anterior no contiene ninguna indicación que dé a entender que la facultad de la autoridad de control para ejercer los poderes correctivos que allí se enumeran dependa del origen de los datos de que se trate y, en particular, del hecho de que se hayan obtenido del interesado.
49 Asimismo, el tenor del artículo 17, apartado 1, del RGPD, que, como se desprende del apartado 37 de la presente sentencia, establece una obligación autónoma del responsable del tratamiento de suprimir los datos personales que hayan sido tratados ilícitamente, no incluye ningún requisito relativo al origen de los datos recogidos.
50 Además, como se deduce de los apartados 41 y 42 de la presente sentencia, para garantizar la aplicación efectiva y coherente del RGPD, es necesario que la autoridad nacional de control disponga de poderes efectivos para actuar eficazmente contra las infracciones de dicho Reglamento. Por tanto, la facultad para ejercer poderes correctivos, tal como se establece en el artículo 58, apartado 2, letras d) y g), del RGPD, no puede depender del origen de los datos de que se trate y, en particular, del hecho de que se hayan obtenido del interesado.
51 Por consiguiente, debe considerarse, al igual que todos los Gobiernos que han presentado observaciones escritas y que la Comisión, que el ejercicio de los poderes correctivos, en el sentido del artículo 58, apartado 2, letras d) y g), del RGPD, no puede depender del hecho de que los datos personales en cuestión hayan sido o no obtenidos directamente del interesado.
52 Corroboran también esta interpretación los objetivos perseguidos por el RGPD, en particular por su artículo 58, apartado 2, recordados en los apartados 40 y 43 de la presente sentencia.
53 Habida cuenta de las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 58, apartado 2, del RGPD debe interpretarse en el sentido de que el poder de la autoridad de control de un Estado miembro para ordenar la supresión de datos personales que han sido tratados ilícitamente puede tener por objeto tanto datos obtenidos del interesado como datos procedentes de otra fuente.
Costas
54 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Quinta) declara:
1) Los artículos 58, apartado 2, letras d) y g), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
debe interpretarse en el sentido de que
la autoridad de control de un Estado miembro está facultada, en ejercicio de sus poderes correctivos previstos en tales disposiciones, para ordenar al responsable o al encargado del tratamiento que suprima datos personales que hayan sido tratados ilícitamente, aun cuando el interesado no haya presentado ninguna solicitud a tal efecto para ejercer sus derechos en virtud del artículo 17, apartado 1, de ese mismo Reglamento.
2) El artículo 58, apartado 2, del Reglamento 2016/679
debe interpretarse en el sentido de que
el poder de la autoridad de control de un Estado miembro para ordenar la supresión de datos personales que han sido tratados ilícitamente puede tener por objeto tanto datos obtenidos del interesado como datos procedentes de otra fuente.
Firmas