La cancellazione può riguardare sia i dati raccolti presso tale interessato sia quelli provenienti da un’altra fonte.
Nel 2020 l’amministrazione comunale di Újpest (Ungheria) ha deciso di aiutare finanziariamente le persone rese più fragili dalla pandemia di Covid-19. A tal fine, essa ha chiesto all’erario ungherese e all’ufficio governativo del quarto distretto di Budapest-Capitale di fornirle i dati personali necessari alla verifica delle condizioni di ammissibilità per l’ottenimento dell’aiuto.
Avvertita da una segnalazione, l’autorità ungherese incaricata della protezione dei dati (in prosieguo: l’«autorità di controllo») ha constatato che sia l’amministrazione di Újpest sia l’erario ungherese e l’ufficio governativo avevano violato le norme del RGPD. A tale titolo sono state inflitte sanzioni pecuniarie.
L’autorità di controllo ha rilevato che l’amministrazione di Újpest non ha informato gli interessati, entro il termine di un mese impartito a tal fine, né dell’utilizzo dei loro dati, né della finalità del medesimo, né dei loro diritti in materia di protezione dei dati. Inoltre, essa ha ordinato all’amministrazione di Újpest di cancellare i dati delle persone ammissibili all’aiuto che non avevano richiesto l’aiuto medesimo.
L’amministrazione di Újpest contesta tale decisione dinanzi alla Corte di Budapest-Capitale (Ungheria). Essa ritiene che l’autorità di controllo non abbia il potere di ordinare la cancellazione dei dati personali in assenza di una previa richiesta presentata a tal fine dall’interessato.