Artículo 17

Derecho de supresión («el derecho al olvido»)

1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

(a)

los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

(b)

el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

(c)

el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

(d)

los datos personales hayan sido tratados ilícitamente;

(e)

los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

(f)

los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

(a)

para ejercer el derecho a la libertad de expresión e información;

(b)

para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

(c)

por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3; h) e i), y apartado 3;

(d)

con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o

(e)

para la formulación, el ejercicio o la defensa de reclamaciones.

¿Qué significa?

Los datos ya no son necesarios para su finalidad original

Si ha recopilado datos para un proyecto concreto y ya ha finalizado, es posible que tenga que borrarlos.

Se retira el consentimiento

Si el tratamiento se basa únicamente en el consentimiento de una persona y ésta cambia de opinión, debe borrar los datos a menos que exista otra base legal.

Objeción legítima sin razón imperiosa

Si una persona se opone al tratamiento de sus datos y usted no puede aportar una razón de peso para continuar, está obligado a suprimir sus datos.

Tratamiento ilícito

Si descubre que ha estado tratando datos sin una base jurídica legítima, debe eliminarlos.

Obligación legal

Debe cumplir las leyes de la UE o de los Estados miembros que obligan a borrar determinados datos.

Datos de niños que ofrecen servicios en línea

Existen protecciones especiales para los datos de menores, y la supresión puede ser necesaria en determinadas situaciones.

Si ha publicado datos personales y se le pide que los borre, debe tomar medidas razonables para informar a otras organizaciones que traten esos datos sobre la solicitud de borrado. Este procedimiento debe incluir la solicitud de eliminación de enlaces, copias o réplicas.

Sí, hay excepciones. El borrado no es necesario cuando:

  • Entra en conflicto con el derecho a la libertad de expresión e información.
  • El tratamiento es necesario para cumplir una obligación legal o para una tarea de interés público.
  • Es necesario por razones de salud pública (como se indica en el RGPD).
  • Es para archivar en interés público, con fines científicos, de investigación histórica o estadísticos (en virtud del artículo 89, apartado 1), y la supresión afectaría a esos objetivos.
  • Los datos son esenciales para las reclamaciones legales.

El RGPD exige que elimine los datos personales sin demoras indebidas tras haber recibido una solicitud válida.

Empiece por establecer procedimientos internos claros para gestionar las solicitudes de borrado. Deben incluir los pasos necesarios para verificar la identidad de la persona, evaluar si la supresión es legalmente necesaria y tratar el proceso de eliminación de datos en todos los sistemas y copias de seguridad pertinentes.

Saber dónde almacena su organización los datos personales es esencial, lo cual es una buena razón para tener un registro detallado de las actividades de tratamiento, tal como exige el artículo 30. Esto ayudará a garantizar la eliminación completa cuando se reciban solicitudes.

Las herramientas técnicas y la automatización pueden ser una baza importante, sobre todo para las organizaciones con procesos complejos y almacenamiento de datos. Considere la posibilidad de utilizar software que ayude a localizar y borrar datos personales.

Dado que las copias de seguridad también son importantes, desarrolle una estrategia para gestionar las solicitudes de borrado en el contexto de sus copias de seguridad. Esto podría implicar la eliminación a medida de los datos de las copias de seguridad siempre que sea factible o programar regularmente la eliminación completa de las copias de seguridad después de un plazo razonable.

Si comparte datos personales con terceros, disponga de un sistema para notificarles las solicitudes de borrado y garantizar su cumplimiento.

Por último, recuerde documentar todos los pasos dados en relación con las solicitudes de borrado. Esto es importante para demostrar sus esfuerzos de cumplimiento del RGPD y ayuda a la hora de gestionar cualquier posible litigio.

Sensibilización

Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.

Discover

About