Derecho al olvido: cómo ejercerlo y atenderlo
← Blog
Protección de datos

Derecho al olvido: cómo ejercerlo y atenderlo

Qué es el derecho al olvido, en dos frases

El derecho al olvido es la vertiente más conocida del derecho de supresión del artículo 17 del RGPD: la facultad de exigir que una empresa, organismo o buscador elimine tus datos personales cuando ya no exista razón legítima para conservarlos. Quien recibe la solicitud tiene, como regla general, un mes para responder.

Es un derecho con dos caras, y este artículo cubre las dos. Si eres ciudadano, te explicamos cómo ejercerlo ante cualquier empresa y ante Google. Si eres empresa, te contamos qué hacer cuando la solicitud te llega a ti, porque responder mal (o no responder) es una de las infracciones más fáciles de denunciar ante la AEPD.

El derecho de supresión está en el artículo 17 del RGPD: el interesado puede obtener la supresión de sus datos, entre otros casos, cuando ya no sean necesarios para los fines para los que se recogieron, cuando retire el consentimiento y no haya otra base jurídica, cuando se oponga al tratamiento, cuando el tratamiento sea ilícito o cuando exista una obligación legal de suprimirlos.

La etiqueta "derecho al olvido" nació en los tribunales: la sentencia del Tribunal de Justicia de la UE en el caso Google Spain (2014) reconoció el derecho a obtener la desindexación de resultados de buscadores. La LOPDGDD lo positivizó después en dos artículos específicos: el 93 (derecho al olvido en búsquedas de internet) y el 94 (derecho al olvido en redes sociales y servicios equivalentes).

Importante: no es un derecho absoluto. El artículo 17.3 lista las excepciones: libertad de expresión e información, cumplimiento de obligaciones legales, interés público en materia de salud, fines de archivo e investigación, y formulación, ejercicio o defensa de reclamaciones. De ahí salen casi todas las denegaciones legítimas.

Si eres ciudadano: cómo ejercer tu derecho

Ante una empresa u organismo

  1. Dirige tu solicitud al responsable del tratamiento, por un medio que deje constancia (email a la dirección que figure en su política de privacidad, formulario, burofax si la cosa está tensa). No necesitas justificar el motivo, aunque indicarlo agiliza el análisis.
  2. Acredita tu identidad de forma proporcionada. La empresa puede pedirte datos adicionales si tiene dudas razonables de que eres tú, pero no exigirte trámites desproporcionados.
  3. Espera la respuesta: un mes desde la recepción (artículo 12.3 del RGPD), prorrogable dos meses más en casos complejos, avisándote dentro del primer mes. El ejercicio del derecho es gratuito.
  4. Si no responden o deniegan sin base, puedes reclamar gratis ante la AEPD a través de su sede electrónica. Te contamos el procedimiento en nuestra guía de la AEPD.

Ante Google y otros buscadores

El caso típico: tu nombre arroja resultados sobre un asunto antiguo (una deuda saldada, un indulto, una noticia desfasada) que te persigue. El derecho al olvido en buscadores funciona así:

  • Se solicita al buscador, mediante sus formularios de retirada de contenido (Google tiene uno específico para peticiones de privacidad europeas), o directamente por las vías generales del artículo 17.
  • El criterio de fondo: que la información sea inadecuada, inexacta, no pertinente o que haya quedado obsoleta, ponderada contra el interés público en encontrarla, que pesa más si eres personaje público o el asunto es reciente y relevante.
  • El efecto es la desindexación de las búsquedas hechas por tu nombre: el contenido sigue existiendo en la web de origen y puede encontrarse por otras búsquedas. Si quieres eliminar el contenido en sí, la solicitud debe dirigirse además al medio o web que lo publicó, donde la libertad de información puede justificar que se mantenga.
  • Si el buscador deniega, también cabe reclamación ante la AEPD.

Si eres empresa: qué hacer cuando te llega una solicitud

Una solicitud de supresión no es un email más: tiene plazo legal y la inacción se denuncia con dos capturas de pantalla. El protocolo razonable:

1. Registra y fecha la solicitud

El plazo de un mes corre desde la recepción, llegue por donde llegue: email, formulario, redes sociales o papel. Ten una vía designada (la de tu política de privacidad), pero no ignores las solicitudes que entren por otros canales.

2. Verifica la identidad sin pasarte

Comprueba razonablemente que quien pide es el titular (o su representante acreditado). Pedir el DNI completo a quien te escribe desde el email con el que se registró suele ser innecesario; no verificar nada y borrar (o revelar) datos de la persona equivocada, también es un problema.

3. Analiza si procede suprimir o hay excepción

Aquí está el trabajo jurídico de verdad. Ejemplos cotidianos:

  • Cliente que pide borrar todos sus datos, con facturas de por medio: no puedes borrar las facturas, porque la normativa fiscal y mercantil te obliga a conservarlas durante sus plazos. Lo correcto es suprimir lo que no estés obligado a conservar (perfiles comerciales, suscripciones) y bloquear el resto conforme al artículo 32 de la LOPDGDD: los datos quedan congelados, accesibles solo para atender responsabilidades legales, hasta que prescriban y entonces se destruyen.
  • Suscriptor de newsletter que retira su consentimiento: supresión directa, no hay excepción que valga. Y mientras tramitas, ni un envío más; el régimen completo está en email marketing legal.
  • Exempleado que pide borrar su expediente al día siguiente de irse: parte de esa información debe conservarse por obligaciones laborales y de Seguridad Social; de nuevo, bloqueo y supresión parcial.

4. Ejecuta la supresión de verdad

Borrar el registro del CRM no basta si los datos siguen en la herramienta de mailing, en hojas de cálculo compartidas y en poder de tus encargados de tratamiento. Traslada la orden a tus proveedores (artículo 28) y, si comunicaste los datos a otros destinatarios, informa de la supresión a cada uno (artículo 19). Si hiciste públicos los datos, el artículo 17.2 te exige además adoptar medidas razonables para informar a otros responsables que los estén tratando. Las copias de seguridad merecen mención: si la supresión inmediata en backups es técnicamente desproporcionada, documenta el ciclo de sobrescritura y garantiza que el dato no se reutilizará si se restaura una copia.

5. Responde siempre por escrito

Tanto si suprimes como si deniegas. La denegación debe motivarse (qué excepción aplica) e informar del derecho a reclamar ante la AEPD. El silencio es la peor opción: convierte un trámite gratuito en un expediente sancionador de los que repasamos en sanciones de la AEPD.

Derecho al olvido no es derecho a reescribir la historia

Conviene calibrar expectativas: el derecho al olvido protege frente a la persistencia injustificada de datos, no borra hechos. No prosperará contra información veraz de interés público actual, contra obligaciones legales de conservación ni contra el ejercicio legítimo de la libertad de información. La LOPDGDD dedica su Título X a estos equilibrios entre derechos digitales; tienes el panorama en nuestra guía de la Ley Orgánica 3/2018 y el marco general en qué es el RGPD.

Preguntas frecuentes

¿Cuánto tarda una solicitud de derecho al olvido?

El responsable debe responder en el plazo de un mes desde que recibe la solicitud, prorrogable dos meses más si es compleja (avisando dentro del primer mes). Si se dirige a un buscador, los plazos de su formulario son los mismos a efectos del RGPD. El trámite es gratuito.

¿Pueden negarse a borrar mis datos?

Sí, cuando aplica alguna excepción del artículo 17.3 del RGPD: obligaciones legales de conservación (facturas, historiales laborales), libertad de expresión e información, defensa frente a reclamaciones, entre otras. La denegación debe estar motivada; si no te convence, puedes reclamar gratis ante la AEPD.

Si Google retira un resultado, ¿desaparece la noticia?

No. La desindexación solo impide que el resultado aparezca en búsquedas hechas por tu nombre; el contenido sigue en la web que lo publicó y accesible por otras vías. Para eliminar el contenido de origen hay que dirigirse a esa web, que podrá ampararse en la libertad de información según el caso.

Como empresa, ¿puedo borrar las facturas de un cliente que lo pide?

No mientras duren tus obligaciones de conservación fiscal y mercantil. Lo correcto es suprimir los datos que no estés obligado a guardar y bloquear el resto (artículo 32 LOPDGDD) hasta que prescriban las responsabilidades, destruyéndolos después. Y responder al cliente explicándoselo, dentro del plazo de un mes.

Atiende los derechos sin improvisar

Un protocolo de derechos bien montado convierte estas solicitudes en un trámite de quince minutos; sin él, cada email es una ruleta rusa con la AEPD. Nuestro servicio de cumplimiento legal incluye los procedimientos y plantillas para atender acceso, supresión y el resto de derechos, junto a la adecuación completa a RGPD, LOPDGDD y LSSI desde 249 euros al año. Escríbenos y deja esto resuelto.

← Volver al blogCuéntanos tu caso →