Sentencia del Tribunal de Justicia (Sala Primera), de 20 de octubre de 2022. Asunto C-77/21.
La empresa Digi es uno de los principales proveedores de servicios de Internet y televisión en Hungría.
Tras un fallo técnico, Digi creó una base de datos denominada “test” donde copió los datos de una tercera parte de sus clientes.
En 2019, un “hacker ético” accedió a los datos personales almacenados en dicha base.
Tras firmar un contrato de confidencialidad y compensar económicamente al hacker, Digi suprimió la base de datos “test”, y notificó la brecha de seguridad a la Autoridad Nacional de Protección de Datos y Libertad de Información de Hungría.
Acto seguido, dicha Autoridad abrió una investigación, y sancionó a Digi por crear y conservar esa segunda base de datos.
El tribunal húngaro conocedor del caso solicita la interpretación del artículo 5.1 RGPD planteando dos cuestiones prejudiciales: (I) ¿Es compatible con el principio de “limitación de la finalidad” la creación por Digi de una segunda base de datos?, (II) ¿Es compatible con el principio de “limitación del plazo de conservación” mantener una base creada en virtud de un tratamiento secundario de datos durante un período superior al necesario?
En este sentido, el TJUE declara que el principio de “limitación de finalidad” no se opone a que el responsable del tratamiento copie y almacene, en una base de datos creada para realizar pruebas y corregir errores, datos personales previamente recogidos y conservados en otra base de datos, siempre y cuando el tratamiento ulterior sea compatible con los fines específicos para los que se recogieron inicialmente.
Por otra parte, el principio de “limitación del plazo de conservación” sí se opone a que el responsable del tratamiento conserve, en una base secundaria como la del presente caso, datos personales recogidos para otros fines, durante un periodo superior al necesario para la realización de las pruebas y las correcciones de los errores.