La opinión 39/2021 del European Data Protection Board (EDPB) analiza la posibilidad de que, ante un tratamiento ilícito de datos personales, una autoridad de control en la materia ordene la supresión de los datos, aun sin que el interesado haya presentado una reclamación o una solicitud de ejercicio de su derecho de supresión. Todo ello, en base al artículo 58.2.g) del Reglamento General de Protección de Datos (RGPD).
El citado artículo se encarga de regular los poderes atribuidos a las autoridades de protección de datos y el concreto precepto aplicable al caso establece expresamente el poder de las mismas para “ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19”.
El EDPB estudia, mediante la opinión emitida, la naturaleza del artículo 17 del RGPD regulador del derecho de supresión y analiza el debate sobre si el responsable del tratamiento de los datos únicamente está obligado a satisfacer la solicitud de este derecho, en base a tal artículo, cuando se lleva a cabo por el interesado. En este sentido, el EDPB concluye que en virtud del texto normativo existen dos casos en que el responsable debe actuar suprimiendo los datos: tanto cuando así lo solicita el interesado, como cuando tiene conocimiento de un tratamiento indebido de los datos, aun cuando no medie una reclamación o solicitud por parte de su titular. En este último caso, subsiste su obligación de cesar en dicho tratamiento ilícito.