El derecho de supresión —también conocido como derecho al olvido— es uno de los derechos más ejercidos ante empresas y administraciones desde la entrada en vigor del Reglamento (UE) 2016/679 (RGPD). Su fundamento jurídico se encuentra en el artículo 17 del RGPD, que otorga a cualquier persona física el derecho a solicitar que sus datos personales sean eliminados cuando concurren determinadas circunstancias. Sin embargo, no siempre procede atender la solicitud: existen excepciones relevantes, especialmente cuando la empresa tiene una obligación legal de conservar los datos. Conocer cuándo se puede —y cuándo no se debe— suprimir información es clave para cumplir el RGPD y para proteger a la organización frente a posibles reclamaciones ante la Agencia Española de Protección de Datos (AEPD).
Qué es el derecho de supresión según el artículo 17 del RGPD
El artículo 17.1 del Reglamento (UE) 2016/679 reconoce al interesado el derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan sin dilación indebida, cuando concurra alguno de los motivos tasados que el propio Reglamento enumera.
El precepto distingue expresamente entre dos situaciones:
- La supresión de datos en el contexto de relaciones directas entre el interesado y el responsable del tratamiento (por ejemplo, un cliente que solicita que una empresa borre su historial de compras o sus datos de contacto).
- El derecho al olvido frente a datos que han sido hechos públicos por el propio responsable. En este caso, el artículo 17.2 del RGPD obliga al responsable a adoptar medidas razonables —incluidas medidas técnicas— para informar a los terceros que estén tratando los datos de que el interesado ha solicitado la supresión de cualquier enlace a esos datos personales, de cualquier copia o réplica de los mismos.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) complementa el RGPD en el ordenamiento jurídico español. Su artículo 15 remite al artículo 17 del RGPD para el ejercicio del derecho de supresión. Por su parte, el artículo 32 de la LOPDGDD regula el bloqueo de datos, que obliga al responsable a bloquear los datos cuando proceda a su rectificación o supresión, reservándolos —con medidas técnicas y organizativas— durante el plazo de prescripción de las posibles responsabilidades. No hay que confundir la LOPDGDD con la derogada Ley Orgánica 15/1999 (LOPD), que fue reemplazada precisamente por aquella.
Cuándo procede la supresión: los seis motivos del artículo 17.1 RGPD
El responsable del tratamiento solo está obligado a suprimir los datos si concurre al menos uno de los seis motivos que enumera el artículo 17.1 del RGPD:
- Los datos ya no son necesarios para los fines para los que fueron recogidos o tratados. Si un cliente dejó de serlo hace años y no existe otra base jurídica para conservar sus datos, la empresa debe suprimirlos una vez transcurridos los plazos legales de conservación.
- El interesado retira el consentimiento en el que se basaba el tratamiento (art. 6.1.a o art. 9.2.a RGPD) y no existe otro fundamento jurídico que lo ampare.
- El interesado se opone al tratamiento conforme al artículo 21.1 del RGPD (oposición basada en motivos legítimos concretos) y no prevalecen motivos legítimos imperiosos, o el interesado se opone al tratamiento con fines de mercadotecnia directa (art. 21.2 RGPD), en cuyo caso la oposición no admite excepciones.
- Los datos han sido tratados ilícitamente, es decir, sin base jurídica válida desde el inicio del tratamiento.
- Los datos deben suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable.
- Los datos se obtuvieron en relación con la oferta de servicios de la sociedad de la información a menores (art. 8 RGPD), sin el consentimiento parental requerido.
Si ninguno de estos motivos concurre, el responsable puede denegar motivadamente la solicitud e informar al interesado de su derecho a reclamar ante la AEPD.
Excepciones: cuándo la empresa puede —o debe— negarse a suprimir
El artículo 17.3 del RGPD establece que el derecho de supresión no se aplica cuando el tratamiento sea necesario para alguno de los siguientes fines:
- El ejercicio de la libertad de expresión e información, ponderando el interés público en la información frente al derecho a la privacidad del interesado.
- El cumplimiento de una obligación legal que requiera el tratamiento, establecida en el Derecho de la Unión o de los Estados miembros, o el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
- Razones de interés público en el ámbito de la salud pública contempladas en el artículo 9.2 letras h) e i) del RGPD.
- Fines de archivo en interés público, investigación científica o histórica o fines estadísticos conforme al artículo 89.1 del RGPD, cuando el ejercicio del derecho de supresión pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos del tratamiento.
- La formulación, el ejercicio o la defensa de reclamaciones judiciales, administrativas o extrajudiciales.
La excepción más habitual en el entorno empresarial es la obligación legal de conservación. Una empresa no puede borrar las facturas de un cliente aunque este lo solicite, porque la normativa fiscal (Ley General Tributaria) impone un plazo de conservación de cuatro años para la documentación con trascendencia tributaria; la normativa mercantil (Código de Comercio, art. 30) eleva ese plazo a seis años para los libros, correspondencia y documentación contable. Del mismo modo, los datos de nóminas, afiliación a la Seguridad Social y prevención de riesgos laborales deben conservarse durante los plazos que establece la legislación laboral y de Seguridad Social.
Causas de supresión frente a excepciones más frecuentes
| Causa de supresión (art. 17.1 RGPD) | Posible excepción que la neutraliza (art. 17.3 RGPD) | Ejemplo práctico |
|---|---|---|
| Datos ya innecesarios para el fin original | Obligación legal de conservación (fiscal, mercantil, laboral) | Facturas: deben conservarse al menos 4 años (Ley General Tributaria) aunque el cliente solicite la supresión |
| Retirada del consentimiento | No aplica excepción si el tratamiento se basaba exclusivamente en el consentimiento y ya no es necesario | El interesado retira su consentimiento a comunicaciones comerciales: los datos de marketing deben borrarse |
| Oposición al tratamiento (art. 21 RGPD) | Formulación, ejercicio o defensa de reclamaciones judiciales o administrativas | Un exempleado solicita el borrado de sus datos; la empresa puede retenerlos mientras existe un litigio laboral activo |
| Tratamiento ilícito desde el origen | Muy limitadas; si el tratamiento fue ilícito, la supresión es la regla general | Datos captados sin base jurídica válida: deben suprimirse sin demora |
| Datos de menores (servicios de la sociedad de la información) | Muy restrictivas; el menor o sus representantes legales pueden exigir la supresión | Plataforma digital que trató datos de un menor sin consentimiento parental válido conforme al art. 8 RGPD |
| Oposición a la mercadotecnia directa (art. 21.2) | Ninguna: la oposición al marketing directo no admite excepciones del art. 17.3 | El interesado se da de baja de la newsletter: los datos no pueden usarse para marketing aunque existan otros tratamientos legítimos |
Si tu organización necesita evaluar si una solicitud concreta de supresión puede denegarse por concurrir una excepción legal, en Summum Consultoría te acompañamos en la gestión de derechos de los interesados, con análisis caso a caso y protocolos adaptados al sector y al tamaño de cada empresa. Contamos con presencia en Castilla y León (Valladolid, Burgos, Palencia y Aranda de Duero) y en Canarias (Las Palmas).
Diferencia entre derecho de supresión y derecho al olvido
Aunque la expresión «derecho al olvido» se utiliza coloquialmente como sinónimo de derecho de supresión, en sentido estricto el derecho al olvido hace referencia a la dimensión específica del artículo 17.2 del RGPD: el derecho a que los datos que fueron hechos públicos por el responsable dejen de circular en entornos digitales, incluyendo los resultados de los motores de búsqueda.
Esta dimensión fue reconocida antes de la aprobación del RGPD por el Tribunal de Justicia de la Unión Europea (TJUE) en su sentencia de 13 de mayo de 2014, asunto Google Spain SL y Google Inc. contra AEPD y Mario Costeja González (C-131/12). El Tribunal declaró que los motores de búsqueda actúan como responsables del tratamiento de los datos personales que aparecen en las páginas web indexadas y que los ciudadanos tienen derecho a solicitar la desindexación de resultados que sean inadecuados, inexactos, no pertinentes o excesivos en relación con los fines del tratamiento y el tiempo transcurrido, aunque la información original hubiera sido publicada de forma lícita.
El derecho al olvido frente a los motores de búsqueda
Cuando el interesado ejercita el derecho al olvido frente a un buscador como Google, lo hace directamente contra el motor de búsqueda como responsable del tratamiento, al margen de la web de origen donde está publicada la información. El buscador debe valorar si procede la desindexación ponderando el derecho a la privacidad del interesado frente al interés público en la información.
Cómo solicitar la desindexación a Google
Google dispone de un formulario oficial de solicitud de eliminación de resultados basado en el Derecho europeo de protección de datos. El interesado debe identificar las URL exactas de los resultados que solicita retirar y justificar por qué cada resultado es inadecuado, no pertinente o excesivo para él en relación con el tiempo transcurrido y su situación actual. Google evalúa cada solicitud individualmente y puede rechazarla si considera que el interés del público en acceder a esa información supera el derecho a la privacidad del solicitante. En caso de rechazo, el interesado puede presentar una reclamación ante la AEPD.
Criterios que la AEPD aplica en reclamaciones sobre el derecho al olvido
La AEPD ha desarrollado criterios interpretativos consistentes a través de resoluciones de tutela de derechos y de su Guía sobre el derecho al olvido en buscadores. Los factores relevantes incluyen:
- El tiempo transcurrido desde que se publicó la información: a mayor distancia temporal, mayor peso del derecho a la privacidad frente al interés público.
- La naturaleza de los datos: datos de categorías especiales (salud, ideología, origen étnico, condenas penales) tienen mayor peso en favor de la desindexación.
- El perfil del interesado: las personas con proyección pública —cargos políticos, empresarios conocidos, personajes públicos— tienen una expectativa de privacidad reducida respecto a su actuación pública.
- La actualidad y relevancia de la información: una noticia de interés general vigente pesa más que un dato histórico sin utilidad informativa presente.
- La exactitud de la información: datos desactualizados o parcialmente incorrectos favorecen la desindexación.
- El daño potencial para el interesado: la información que pueda afectar gravemente a la reputación, el empleo o la seguridad personal tiene mayor peso en favor de la supresión.
Plazos para atender una solicitud de supresión
El artículo 12 del RGPD fija el régimen general de plazos para el ejercicio de derechos, que resulta aplicable al derecho de supresión:
- El responsable debe responder en el plazo de un mes desde la recepción de la solicitud, informando al interesado de las medidas adoptadas o, en su caso, de los motivos por los que deniega la solicitud.
- Este plazo puede prorrogarse otros dos meses cuando la solicitud sea especialmente compleja o se haya recibido un número elevado de solicitudes simultáneas. El responsable debe comunicar la prórroga y sus motivos al interesado dentro del primer mes, sin esperar a que transcurra el plazo inicial.
- Si el responsable decide no atender la solicitud —porque no concurre ningún motivo del artículo 17.1 o porque aplica una excepción del artículo 17.3—, debe informar al interesado en el plazo de un mes, explicar los motivos concretos y recordarle su derecho a presentar una reclamación ante la AEPD y a ejercitar acciones judiciales.
La gratuidad es la regla: el responsable no puede cobrar al interesado por tramitar su solicitud (art. 12.5 RGPD). La única excepción se produce cuando las solicitudes son manifiestamente infundadas o excesivas por su carácter repetitivo: en ese caso, el responsable puede cobrar un canon razonable que tenga en cuenta los costes administrativos, o negarse a actuar, debiendo acreditar el carácter manifiestamente infundado o excesivo de la solicitud.
Obligación de notificar la supresión a terceros: el artículo 19 del RGPD
Cuando el responsable atiende una solicitud de supresión, el artículo 19 del RGPD le impone la obligación adicional de comunicar la supresión a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que resulte imposible o exija un esfuerzo desproporcionado. Si el interesado lo solicita, el responsable debe informarle sobre esos destinatarios.
Esta obligación es especialmente relevante en escenarios habituales: empresas que comparten datos con sociedades del mismo grupo, sistemas CRM sincronizados con encargados del tratamiento externos (agencias de marketing, plataformas de email, ERP en la nube), o datos cedidos a entidades de información crediticia. Si la supresión se ejecuta en el fichero principal pero los datos persisten en bases de datos secundarias o en servicios cloud gestionados por encargados, la supresión es incompleta y el responsable sigue incumpliendo el RGPD.
El artículo 28 del RGPD exige que los contratos de encargo del tratamiento regulen expresamente la obligación del encargado de suprimir o devolver los datos al responsable, a elección de este, una vez finalizada la prestación del servicio o cuando el responsable así lo solicite. Revisar esta cláusula en los contratos con proveedores es un paso imprescindible antes de responder a una solicitud de supresión.
Cómo gestionar las solicitudes de supresión en tu empresa
Gestionar correctamente el derecho de supresión en una organización requiere un protocolo interno claro y documentado que abarque, como mínimo, los siguientes elementos:
- Canal de recepción de solicitudes accesible. El artículo 12 del RGPD exige no imponer obstáculos al ejercicio de derechos. El canal debe estar claramente identificado en la política de privacidad y ser fácil de usar (formulario web, dirección de email dedicada, dirección postal).
- Verificación razonable de la identidad del solicitante. Antes de suprimir datos, el responsable debe confirmar razonablemente que quien solicita la supresión es efectivamente el interesado o su representante legal (art. 12.6 RGPD). No es admisible exigir documentos desproporcionados, pero sí solicitar información que confirme la identidad.
- Análisis de procedencia de la solicitud. ¿Concurre alguno de los seis motivos del artículo 17.1? ¿Aplica alguna excepción del artículo 17.3? Esta decisión debe quedar documentada internamente, con independencia del resultado.
- Ejecución técnica de la supresión en todos los sistemas. Borrado efectivo en la base de datos principal, en los sistemas de los encargados del tratamiento (art. 28 RGPD) y en los sistemas de archivo. Los datos deben dejar de estar disponibles para restaurarse desde las copias de seguridad en los próximos ciclos de renovación de backup.
- Notificación a terceros destinatarios conforme al artículo 19 del RGPD, con documentación de las comunicaciones enviadas.
- Respuesta documentada al interesado dentro del plazo de un mes, indicando las medidas adoptadas o los motivos de denegación.
El equipo de protección de datos de Summum Consultoría ofrece acompañamiento en la implantación de protocolos de gestión de derechos de los interesados, incluyendo el diseño del canal de ejercicio, las plantillas de respuesta conformes al RGPD y la formación del personal implicado en la atención de solicitudes. Llevamos desde 2007 ayudando a empresas en Castilla y León y en Canarias a adaptar sus procesos a la normativa de protección de datos.
Consecuencias del incumplimiento
No atender una solicitud de supresión que sí era procedente, o no hacerlo en plazo sin motivo justificado, puede dar lugar a:
- Reclamación ante la AEPD por parte del interesado, que puede derivar en un procedimiento sancionador de oficio contra la empresa.
- Sanciones administrativas conforme al artículo 83 del RGPD. El incumplimiento del artículo 17 puede ser calificado como infracción grave o muy grave según la LOPDGDD. El artículo 83.5 del RGPD prevé sanciones de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial del ejercicio anterior, optándose por la de mayor cuantía. El artículo 83.4 prevé sanciones de hasta 10.000.000 EUR o el 2 % para infracciones de menor gravedad. La AEPD valora en cada caso la naturaleza, gravedad y duración de la infracción, el grado de responsabilidad y las medidas adoptadas para paliar los daños.
- Acciones civiles por parte del interesado para exigir la tutela de su derecho y, en su caso, indemnización por daños.
Preguntas frecuentes
¿Puede una empresa negarse a borrar mis datos si los usa para enviarte publicidad?
No. Si el interesado ejerce el derecho de oposición al tratamiento con fines de mercadotecnia directa conforme al artículo 21.2 del RGPD, el responsable debe cesar ese tratamiento de forma inmediata, sin que sea necesario invocar ningún motivo personal. Si la única base jurídica para conservar los datos era ese tratamiento de marketing, procede además la supresión. La negativa injustificada puede ser objeto de reclamación ante la AEPD, que puede iniciar un procedimiento sancionador de oficio.
¿Cuánto tiempo tiene una empresa para borrar mis datos tras la solicitud?
El RGPD exige que la supresión se produzca sin dilación indebida (art. 17.1) y que la respuesta al interesado se entregue en el plazo máximo de un mes desde la recepción de la solicitud, prorrogable a tres meses en casos complejos. En la práctica, la ejecución técnica puede requerir un plazo razonable cuando implica sistemas de terceros, pero la respuesta al interesado y el inicio de la ejecución deben producirse siempre dentro del primer mes. Superar ese plazo sin comunicación alguna es en sí mismo un incumplimiento del artículo 12 del RGPD.
¿El derecho de supresión incluye que Google elimine los resultados que aparecen con mi nombre?
El artículo 17.2 del RGPD obliga al responsable que hizo públicos los datos a informar a los terceros que los traten —buscadores incluidos— de la solicitud de supresión. Sin embargo, el interesado también puede dirigirse directamente a Google mediante su formulario oficial de desindexación basado en el Derecho europeo, sin necesidad de pasar primero por el responsable de la publicación original. Si Google rechaza la solicitud de desindexación, el interesado puede reclamar ante la AEPD, que resolverá ponderando el derecho a la privacidad frente al interés público en la información según los criterios descritos en su Guía sobre el derecho al olvido en buscadores.
¿La empresa tiene que borrar también las copias de seguridad?
Sí, aunque con matices técnicos. La supresión debe ser efectiva e incluir también los sistemas de backup, pero es admisible que la eliminación se produzca en los próximos ciclos de renovación de las copias, no de forma inmediata. Lo que sí es exigible desde el primer momento es que los datos suprimidos no sean restaurados desde esas copias de seguridad, salvo para un fin distinto debidamente justificado. El responsable debe dejar constancia de este procedimiento en el Registro de Actividades de Tratamiento e indicar los plazos de supresión en backup en su política de retención de datos.