El artículo 17 del RGPD otorga al interesado el derecho a que sus datos personales sean borrados sin demora. Este derecho refleja el principio de minimización de datos (véase “Principio de minimización de datos” dentro de la sección “Principios” de la Parte II de estas Directrices) y el principio de exactitud (véase “Principio de exactitud” dentro de la sección “Principios” de la Parte II de estas Directrices), según los cuales los datos personales deben limitarse a lo necesario para los fines para los que se tratan dichos datos, así como ser exactos y estar actualizados (artículo 5.1, letras c) y d)).
De conformidad con el artículo 17.1 del RGPD, el derecho de supresión se aplica en los siguientes casos:
- Los datos personales ya no son necesarios para los fines para los que fueron tratados;
- El interesado retira el consentimiento en el que se basa el tratamiento y no hay ningún otro motivo legal aplicable;
- El interesado se opone al tratamiento y no existen motivos legítimos imperiosos para el tratamiento;
- Los datos personales han sido tratados ilegalmente;
- Los datos personales tienen que ser borrados para cumplir con una obligación legal establecida en la legislación de la UE o del Estado miembro a la que el responsable del tratamiento está vinculado;
- Los datos personales se han recogido en relación con la oferta de servicios de la sociedad de la información a los niños de acuerdo con el artículo 8.1 del RGPD.
Desde un punto de vista práctico, el derecho a la supresión implica inutilizar los datos de cualquier forma que impida al responsable del tratamiento y a cualquier otra parte acceder y tratar de nuevo los datos[1]. Ya sea destruyendo el soporte físico (por ejemplo, documentos en papel) o borrando los datos de los sistemas informáticos. El proceso de borrado es exitoso, en la medida en que ya no es posible restaurar los datos sin un esfuerzo excesivo. Voigt y von dem Bussche, por ejemplo, consideran razonable[2] la posibilidad teórica de restaurar los datos mediante un software especializado.
Por un lado, existen normas internacionales creadas específicamente para establecer cómo debe destruirse la información en papel. En concreto, el papel debe ser destruido por una trituradora adecuada. Un ejemplo de norma al respecto es la norma[3] DIN 66399, que ofrece orientación sobre la adecuación de las trituradoras y su configuración. La destrucción de la información puede ser realizada internamente por el controlador o por una empresa externa. Si se subcontrata, la empresa externa debe considerarse un encargado del tratamiento, ya que el artículo 4.2 del RGPD considera también el “borrado o la destrucción” como una operación de tratamiento. Según el artículo 28.3 del RGPD, el responsable del tratamiento debe redactar un contrato que imponga al encargado del tratamiento todas las obligaciones necesarias para aplicar las garantías adecuadas (véase el artículo 28 del RGPD para más detalles).
Por otro lado, se da el caso de que el borrado de los sistemas vivos no se produzca inmediatamente. No basta con trasladar los datos a la papelera del ordenador. Por ejemplo, los datos podrían estar almacenados en una ubicación diferente, y también en repositorios de copia de seguridad. En estos casos, actuar a petición del interesado podría ser más complicado y largo debido a los mecanismos técnicos vigentes. En consecuencia, el responsable del tratamiento deberá poner los datos de reserva fuera de uso (es decir, de modo que nadie pueda procesar los datos en el repositorio de reserva para ningún fin), hasta que el repositorio se actualice según lo previsto y los datos puedan finalmente borrarse de forma permanente. Un ejemplo reciente de normas aplicables a este proceso puede encontrarse en la ISO 27701.
Además, cuando los datos personales sean públicos y deban ser borrados, el responsable del tratamiento debe tomar medidas razonables para informar a otros responsables del tratamiento que traten los mismos datos sobre la solicitud del sujeto de borrarlos. Este carácter razonable se deriva de las tecnologías disponibles y del coste de su aplicación, como se explica en el considerando 66 del RGPD. Del mismo modo, el artículo 19 del RGPD exige que el responsable del tratamiento comunique la supresión a cada uno de los destinatarios a los que se hayan comunicado los datos, a menos que esto resulte imposible o suponga un esfuerzo desproporcionado (véase el “Principio de exactitud” dentro de la sección “Principios” de la Parte II de estas Directrices).
Una cuestión muy debatida se refiere a la carga de la prueba. Por un lado, según Voigt y von dem Bussche (2017), los interesados tienen que demostrar la existencia de su derecho a la supresión; el responsable del tratamiento, sin embargo, estará obligado a probar las circunstancias favorables para ello, como la presentación de contrapruebas para negar el tratamiento ilícito en virtud del artículo 17.1 (d) del RGPD. Lo mismo ocurre con la prueba de las excepciones al derecho de supresión establecidas en el artículo 17. 3 del RGPD (véase más adelante)[4]. Por otra parte, la Agencia de Derechos Fundamentales afirma que, ante la solicitud de supresión del interesado, sólo corresponde al responsable del tratamiento indicar la licitud del mismo.[5]
En este contexto, en efecto, el artículo 17.3 del RGPD establece varias excepciones al derecho de supresión, entre ellas cuando el tratamiento de los datos personales es necesario para:
- Ejercer el derecho a la libertad de expresión e información;
- Cumplimiento de una obligación legal que requiera el tratamiento por la legislación de la UE o de los Estados miembros a la que esté vinculado el responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio del poder público conferido al responsable del tratamiento;
- Razones de interés público en el ámbito de la salud pública;
- Fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos;
- El ejercicio o la defensa de reclamaciones judiciales.
Centrándose en la limitación establecida al derecho de supresión cuando su ejercicio imposibilite o perjudique la consecución de los objetivos de la investigación, Ducato esboza que tal limitación […] se justifica a la luz de las necesidades específicas del contexto de la investigación: la supresión de la totalidad o parte de los datos utilizados para un estudio, incluso cuando sea técnicamente posible, correría el riesgo de socavar la validez científica de la investigación al impedir la verificación de sus resultados y el proceso de revisión por pares[6]. La restricción, según el autor, se limita aparentemente a los estudios ya concluidos, dado que el no inicio de la investigación y el posterior ejercicio del derecho de supresión no afectarían a los objetivos[7] de la investigación.
Lista de comprobación para cumplir con una solicitud de borrado: ¿El ejercicio del derecho de supresión es conforme al RGPD? ☐ ¿Ha recibido una solicitud de borrado de una persona jurídica? En caso afirmativo, indique que la solicitud no fue presentada por un particular; ☐ ¿Se ha identificado correctamente la persona? Si no es así, pida más información para confirmar la identidad; ☐ ¿Entra la solicitud en uno de los supuestos previstos en el artículo 17.1 del RGPD? Si no es así, informe y explique al interesado que la solicitud será denegada; ☐ ¿Cumple la solicitud una de las excepciones previstas en el artículo 17.3 del RGPD? En caso afirmativo, informe y explique al interesado que la solicitud será denegada; ☐ ¿Puede atenderse la solicitud en el plazo de un mes? Si no es así, informe por qué y cuánto tiempo tardará en tramitarse la solicitud. ☐ Hay que cumplir la petición. Cómo seguir cumpliendo con todas las obligaciones del RGPD: ☐ Hacer que los datos sean inutilizables de forma que le impidan a usted y a cualquier otra parte (volver a) acceder a ellos y (volver a) procesarlos; ☐ Comunicar la supresión a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que resulte imposible o suponga un esfuerzo desproporcionado; |
- P. Voigt & A. von dem Bussche, op. cit., p. 161 ↑
- Ibid. , p. 161 ↑
- Esta norma fue desarrollada por el DIN, que es la abreviatura del Instituto Alemán de Normalización. Para más información, consulte: https://din66399.de ↑
- P. Voigt & A. von dem Bussche, op. cit., p. 159 ↑
- Agencia de Derechos Fundamentales (ed.), op. cit. , p. 223 ↑
- R. Ducato, op. cit. , p. 6 ↑
- Ibid. ↑