El derecho al olvido: definición y ejemplos

El “derecho al olvido” es un elemento central del Reglamento General de Protección de Datos de la Unión Europea (RGPD). Se basa en proteger a las personas cuyos datos están siendo procesados en Internet o utilizados de otras maneras y permite que se eliminen los datos digitales de una persona cuando se cumplen ciertos requisitos.

¿Qué es el derecho al olvido?

El “right to be forgotten”, o derecho al olvido en español, es una de las herramientas más importantes de las que disponen los usuarios para proteger sus datos personales y privacidad. Este permite a los interesados exigir a las empresas o responsables del tratamiento de datos que supriman sus datos personales permanentemente. Es pertinente tanto si las empresas se limitan a recabar los datos como si los almacenan o si directamente los publican.

¿Cómo surgió el derecho al olvido en el RGPD?

El origen de esta directiva del RGPD yace en la llamada “sentencia Google” o “sentencia Google Spain”, dictada por el Tribunal de Justicia de la Unión Europea el 13 de mayo de 2014. En esencia, esta establece que, en determinadas circunstancias, una persona puede solicitar que se supriman los enlaces que remiten a información irrelevante u obsoleta sobre ella. En esta sentencia del TJUE, la obligación de suprimir datos previa solicitud se refiere a los motores de búsqueda que publican datos personales. De hecho, principalmente hace referencia personas privadas, ya que resalta que en la eliminación de información sobre personas públicas o en archivos de prensa cabe contrastar el derecho de los interesados con el derecho a la información.

¿Dónde está definido jurídicamente el derecho al olvido?

En la “sentencia Google”, el TJUE aplicó las directivas comunitarias vigentes en materia de protección de datos, que se concretaron en 2016 en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, más conocido como RGPD. El derecho al olvido está recogido en el artículo 17 bajo el epígrafe “derecho de supresión”, con “derecho al olvido” entre paréntesis. En la legislación española, el derecho al olvido en búsquedas de Internet y en servicios de redes sociales y equivalentes está contemplado en los artículos 93 y 94 de la Ley Orgánica de Protección de Datos Personales y garantía de derechos digitales (o LOPDGDD).

Derecho de supresión y derecho al olvido según el RGPD

El derecho al olvido se entiende como una ampliación del derecho de supresión del RGPD. El artículo 17 del RGPD establece ante todo la obligación de los responsables de suprimir los datos personales que tratan o publican. Esto afecta por ejemplo a las editoriales o empresas que directamente procesan y almacenan datos de personas. Si se cumplen los requisitos previos para la eliminación de los datos, cuando se les solicite, las personas o entidades responsables tendrán que borrar los enlaces o conjuntos de datos de forma demostrable y sin demora.

El derecho al olvido se menciona concretamente en el apartado 2 del artículo 17 del RGPD y se aplica también a terceros, como Google y en general los motores de búsqueda, que no recopilan los datos de personas por sí mismos pero sí los ponen a disposición de otros. Por tanto, esta directiva, además de permitir a los interesados exigir la eliminación de sus datos personales ante los responsables directos, también los autoriza a solicitar su supresión o eliminación a terceros.

¿Qué condiciones deben darse para poder ejercer el derecho al olvido?

Para exigir la eliminación de datos a los responsables y terceros implicados, deben cumplirse ciertos requisitos, entre los cuales se encuentran:

  • Ya no es necesario almacenar o publicar los datos personales según los fines originales de recogida y tratamiento de datos.
  • Las personas afectadas han retirado su consentimiento para tratar y almacenar sus datos.
  • No hay ningún otro fundamento jurídico preponderante para almacenar los datos.
  • Los datos personales se recogieron y trataron sin base jurídica y/o consentimiento.
  • Los responsables están sujetos a la obligación legal recogida en el RGPD de respetar el derecho de supresión y derecho al olvido.
  • Los datos son de personas menores de edad y se obtuvieron para servicios u ofertas de Internet.

Si las personas afectadas pueden probar sus alegaciones, las empresas y terceros responsables tendrán que suprimir los datos “sin retrasos indebidos”. Por regla general, estos disponen de un mes desde la solicitud para informar a los interesados sobre las medidas adoptadas o los posibles motivos por los que se deniega la petición.

Ejemplo de caso de derecho al olvido

El derecho al olvido es un importante instrumento en la protección de la reputación, la imagen y la privacidad de las personas y las empresas. En la práctica, se ha utilizado, por ejemplo, cuando pasados 10 o 20 años, siguen pudiendo encontrarse casos de bancarrota, sentencias o momentos “vergonzosos” en motores de búsqueda como Google. Otro factor relevante en este sentido es la resocialización de las personas condenadas, sobre todo cuando se trata de delitos menores. Haciendo valer legalmente la supresión de los datos, no solo se protegen los derechos de las personas y empresas, también las oportunidades laborales y la imagen profesional y empresarial.

¿Cómo deben eliminarse los datos personales?

El RGPD no establece un método claro para efectuar la eliminación de los datos, pero es determinante que esta se haga de manera comprobable y sin demora. He aquí algunos métodos posibles:

  • Destrucción y eliminación adecuadas de los soportes físicos por parte de expertos
  • Sobrescritura profesional de los espacios de almacenamiento afectados que confirmen de manera demostrable la eliminación e inutilización de los conjuntos de datos
  • Eliminación de enlaces, accesos directos, entradas de búsqueda, términos de búsqueda y códigos relacionados
  • Borrado del listado y los algoritmos de los motores de búsqueda

¿Tiene excepciones el derecho al olvido?

La supresión de datos personales previa solicitud choca en algunos casos con la obligación de llevar un registro y la libertad de información. Aunque el RGPD concede a las personas privadas el derecho a una mayor privacidad, hay requisitos específicos y excepciones que evitan que los datos críticos puedan eliminarse sin más si se aplica la obligación de llegar un registro o si los datos son de interés público, médico, fiscal o de seguridad política. Sin embargo, hay que tener en cuenta, sobre todo en el caso de obligaciones de registro más largas, que los datos personales que ya no se procesan pero siguen teniendo que almacenarse están sujetos a una mayor protección de acceso.

Excepciones concretas del derecho al olvido

  • Los datos personales siguen siendo necesarios para fines demostrables de tratamiento de datos.
  • Las personas interesadas han dado su consentimiento a un tratamiento de datos que sigue siendo necesario.
  • El derecho a la libertad de expresión y de información prevalece sobre el derecho de supresión y derecho al olvido.
  • Los datos siguen siendo necesarios para cumplir con las obligaciones públicas y legales de las empresas y personas.
  • El procesamiento de datos se hace por interés público.
  • El procesamiento de datos se lleva a cabo en el marco del archivado, investigación o recogida estadística de datos de interés público.

En algunos casos, las excepciones del derecho al olvido pueden no ser procedentes si la petición de eliminación se ha hecho pasado el plazo de prescripción correspondiente.

¿Cómo se ejerce el derecho al olvido?

Para reclamar que se supriman y eliminen tus datos, primero debes saber que estos datos existen. Para ello es elemental el derecho de acceso, regulado en el artículo 15 del RGPD. Este te permite reclamar a las empresas que tratan tus datos personales información sobre los datos almacenados y procesados que tienen sobre ti. Las reclamaciones de supresión y derecho al olvido pueden hacerse valer enviándolas por correo o email a los responsables sobre la base del derecho de acceso.

No hay un formulario específico para hacer la solicitud, pero para demostrar que esta se ha presentado, hay que hacerla siempre por escrito. Tanto la Agencia Estatal de Protección de Datos como el Ministerio de Transportes, Movilidad y Agenda Urbana disponen de formularios gratuitos para ejercer el derecho al olvido en Internet. Lo que sí debes tener en cuenta para evitar que se retrase o denieguen tu solicitud es probar claramente en ella la identidad de la persona interesada e incluir referencias a los datos de los que se trata, así como la pretensión legal.

Consejo

¿Quieres una página web profesional y de gran valor que cumpla con todos los requisitos del RGPD? Crea una página web con IONOS y ten por seguro que obtendrás un dominio seguro con SSL y una protección de datos al nivel del RGPD.

Aplicar el derecho al olvido en Google

Las empresas como Google o Facebook disponen de formularios web gratuitos con los que puedes presentar tu solicitud. La página de Ayuda de Google te explica los pasos que debes seguir para presentarla y la información que necesitas. Para eliminar entradas de Google debes proporcionar entre otros estos datos:

  • Las URL afectadas con el contenido de búsqueda que toca eliminar
  • Prueba de la relevancia de los datos para la persona y motivos por los que eliminarlos
  • Solicitudes de búsqueda que llevan al contenido en cuestión (por ejemplo, tu nombre)
  • Direcciones de correo que llevan a los resultados de búsqueda afectados
  • Pruebas y motivos que demuestran que está justificada la supresión y eliminación de contenido

No hay un derecho general a la privacidad y eliminación de datos

A primera vista puede parecer que el derecho al olvido sirve para impedir la publicación de datos personales en contra de la voluntad de la persona. Pero si en tu día a día consientes el tratamiento de tus datos, debes saber que en primera instancia no hay un derecho general a la eliminación de datos. No hay más que examinar las condiciones necesarias para que tenga cabida una reclamación legal. Además, borrar los datos de manera injustificada puede suponer una infracción. Esto es especialmente cierto cuando hay obligaciones de registro y se está tratando con datos críticos. Cabe mencionar especialmente la eliminación no autorizada de datos por encubrimiento de actividades criminales de personas públicas o empresas.

¿Basta con anonimizar los datos?

Una alternativa a la supresión puede ser la anonimización completa de los datos. Los datos que se tratan y almacenan pueden anonimizarse hasta tal punto que dejan de entenderse como datos personales en el sentido más estricto de la palabra. Por tanto, si los datos se anonimizan lo suficiente para realizar análisis estadísticos o investigaciones, las directrices de protección de datos del RGPD ya no son directamente aplicables.

Es lo que ocurre por ejemplo cuando nadie puede establecer una conexión entre los conjuntos de datos y las personas a la que se refieren. Entre los métodos para anonimizar datos están la aleatorización, la generalización y la evitación del vínculo. Los fundamentos jurídicos de la anonimización como alternativa a la eliminación de los datos se recogen en el artículo 4 del RGPD.

Consejo

Crea tu propia tienda online con IONOS y disfruta de una solución profesional hecha a medida y en cumplimiento con el RGPD.

¿Qué implicaciones tiene el derecho al olvido para las empresas?

Las disposiciones europeas de protección de datos como el RGPD o el Reglamento ePrivacy son de vital importancia para las empresas en lo que respecta a la protección de datos y el derecho al olvido. Tal y como establece el RGPD, las empresas no pueden recabar datos sin orden ni concierto y solo puede tratar datos si obtienen el consentimiento por escrito. El reglamento ePrivacy establece al respecto que las personas deben permitir expresamente el uso de cookies y seguimiento en páginas web.

Ya que en el marketing online y el comercio electrónico el tratamiento de datos personales es imprescindible, es recomendable tomar las precauciones correspondientes desde el principio en lo referido a la protección de datos y la soberanía de los datos. Algunos ejemplos son:

  • Política de protección de datos visible y accesible en la página web y que respete el RGPD
  • Herramientas y estrategias para comprobar y poner en marcha las solicitudes de eliminación de datos personales
  • Cumplimiento legal de la obligación de informar sobre cookies y rastreo
  • Garantías legales del tratamiento y la transferencia de datos por parte del responsable de la política de datos y del departamento jurídico informático (sobre todo si se traspasan los datos a EE. UU. tras la nulidad del Privacy Shield

Por favor, ten en cuenta el aviso legal relativo a este artículo.

Page top