El Reglamento General de Protección de Datos (RGPD) europeo ha reforzado los derechos de los ciudadanos. Entre ellos está el derecho a la eliminación de los datos personales, también conocido como "derecho al olvido". Pero, ¿cómo se puede ejercer en la práctica?
El derecho al olvido significa que los interesados pueden solicitar al responsable del tratamiento la supresión de sus datos personales. El artículo 17 del RGPD enumera los motivos por los que los interesados pueden invocar este derecho. Los más importantes son:
- Omisión de la finalidad del almacenamiento: Un principio central del RGPD establece que todo almacenamiento y tratamiento de datos personales debe estar vinculado a una finalidad. Esto también significa que en cuanto la finalidad deje de existir, los datos no podrán seguir almacenándose.
Revocación del consentimiento: El consentimiento del interesado se considera una posible base para el tratamiento de los datos personales. Si se retira, todos los datos para los que se dio originalmente el consentimiento deben ser eliminados, a menos que exista otra base legal para el tratamiento de los datos. La retirada no afecta a la legalidad del tratamiento ya realizado.Tratamiento ilegal: Si el tratamiento de datos era ilegal desde el principio, el interesado puede solicitar la supresión de los datos personales sin demora.
El RGPD enumera otros motivos que permiten la supresión de los datos. Entre ellos se encuentra el caso de que una empresa haya tratado los datos sin el consentimiento activo del interesado debido a un "interés legítimo". Esto no es ilegal en sí mismo: el RGPD reconoce el concepto de "interés legítimo". Sin embargo, si el interesado se opone en este caso, los datos deben ser eliminados a menos que exista otra base legal.
Cuándo tiene sentido una solicitud de borrado
Una solicitud de borrado puede tener diferentes motivos. Un derecho importante en virtud del RGPD es el derecho de acceso, según el cual toda persona puede averiguar qué datos ha almacenado una empresa o autoridad sobre ella. Si esa información revela que los datos se han almacenado de forma ilegal, tiene sentido una solicitud de borrado.
El caso más común en la práctica es probablemente el cese de un determinado programa o servicio. Si dicha finalización no confirma automáticamente que los datos almacenados serán eliminados, es aconsejable hacer un uso activo del derecho de eliminación.
Lo mejor es presentar una solicitud de eliminación por escrito
En principio, una solicitud de eliminación no requiere un formulario específico. Sin embargo, por razones de documentación y para poder demostrarlo posteriormente, la forma escrita es muy adecuada para una solicitud de supresión, ya sea clásicamente por correo o también por correo electrónico. No es necesario dar razones detalladas; una sola línea es suficiente para una solicitud de eliminación. Sin embargo, algunos datos pueden ser útiles para la solicitud.
- Nombre, dirección, cumpleaños, dirección de correo electrónico: La empresa debe asegurarse de que la solicitud procede realmente del interesado y no de un tercero. Por lo tanto, el interesado debe enviar tranquilamente aquellos datos que la empresa ya tiene y que pueden ayudar a la identificación.
No hay datos nuevos: Sin embargo, si la empresa ni siquiera conoce ciertos datos -como la fecha de nacimiento o la dirección de correo electrónico- tampoco es útil adjuntarlos a la solicitud de supresión. Al fin y al cabo, la empresa no debe tener después más datos de los que tenía antes.
Si quiere estar seguro, también puede nombrar específicamente en su carta los datos personales que se van a eliminar, pero no tiene por qué ser así. También es posible solicitar la supresión de algunos o todos los datos personales. Un ejemplo del segundo caso podría ser una dirección incorrecta, mientras que otros datos pueden seguir siendo almacenados.
A continuación se presenta un sencillo ejemplo de formulación de una solicitud de borrado - en este caso, el solicitante sólo tiene que añadir los datos que figuran entre los corchetes:
Ejemplo de solicitud de borrado
Dirección del destinatario
Dirección del remitente [lugar], la [fecha]
Solicitud de borrado de conformidad con el art. 17 DSGVO
Estimado señor o señora,
Con esta carta doy por terminada mi participación en el [insertar programa] y solicito la eliminación de mi cuenta de cliente con el número de cliente [insertar número de cliente]. Solicito la supresión inmediata de todos mis datos de conformidad con el artículo 17 de la DSGVO.
Por favor, envíenme una confirmación de las medidas solicitadas.
Muchas gracias y un saludo
[Firma]
Pasos posteriores a la solicitud de borrado
¿Pero qué ocurre si la empresa simplemente ignora la solicitud? En este caso, se pone automáticamente en evidencia, ya que la ley exige una reacción en el plazo de un mes.
En función de lo que le preocupe al solicitante, ahora puede recordarle a la empresa su petición unas cuantas veces. Si esto tampoco funciona, la única opción es reclamar ante la autoridad de control competente. En Alemania existe un complejo sistema de autoridades de protección de datos, pero cada ciudadano puede acudir a su autoridad estatal local sin preocuparse.
Ahora, en la práctica, aunque la solicitud de borrado tenga éxito, los datos de las redes sociales pueden haberse difundido en otros lugares de internet. Entonces, ¿los afectados tienen que volver a pedir posteriormente a cada operador de página individual que borre los mismos datos? No, porque el responsable original de la publicación de los datos debe trabajar por la eliminación a lo largo de toda la cadena de tratamiento de datos.
Autocomprobación: ¿Cómo de fácil es realmente eliminar los datos
Se sabe que el papel es paciente. Entonces, ¿se aplica realmente el todavía joven derecho al olvido del GDPR? DataGuard, proveedor de soluciones de protección de datos, lo ha probado. Desde los servicios en línea hasta los programas de puntos de bonificación, pasando por las tiendas de Internet: Alrededor de una docena de cuentas de clientes reales que ya no eran necesarias se cancelaron por correo electrónico o formulario de contacto con una simple línea. Los resultados son alentadores:
- Todas las solicitudes de borrado fueron efectivamente contestadas en el plazo previsto de un mes -no hubo solicitudes de verificación de identidad.
- Ninguna de las empresas solicitadas se negó al borrado -para el que, sin embargo, no habría habido base legal ni siquiera tras la finalización de la relación contractual.
- Una pequeña gota de amargura: no todas las empresas dieron un plazo concreto para el borrado. Una empresa que describió su rutina de borrado y explicó por qué, por razones técnicas, el borrado solo puede tener lugar en seis semanas, puede destacarse positivamente en términos de transparencia.
- Ninguna de las empresas solicitadas se negó al borrado -para el que, sin embargo, no habría habido base legal ni siquiera tras la finalización de la relación contractual.
En general, todas las organizaciones a las que se escribió cumplían afortunadamente con el GDPR. Por supuesto, el borrado no se puede comprobar físicamente de esta manera. Cualquier persona que tenga dudas sobre si la eliminación se está produciendo realmente podría, por ejemplo, presentar otra solicitud de información en virtud del RGPD a la empresa un año después y preguntar si se están tratando datos personales sobre ellos. Si luego la empresa afirma que sigue teniendo datos almacenados, es evidente que algo falla.
Cómo deben proceder las empresas ante una solicitud de borrado
Hasta ahora, las solicitudes de borrado se han considerado desde la perspectiva de los interesados. Ahora veremos la perspectiva empresarial: ¿Cuál es la reacción ideal ante una solicitud de borrado? En primer lugar, hay que tener en cuenta que la ley no proporciona ninguna directriz precisa sobre el "cómo" de la supresión. Además del artículo 17 del GDPR, los principios del tratamiento de datos formulados en el artículo 5 del reglamento son relevantes para la orientación.
Antes de una supresión, la solicitud debe ser comprobada. La siguiente lista de preguntas puede ayudar:
- ¿Es legítima la solicitud? El primer paso en este caso es comprobar la identidad de la persona que ha presentado una solicitud de supresión. Si hay dudas razonables, la empresa debe solicitar más información.
¿Hay obligación de borrar? La respuesta a la pregunta no es fácil. Al derecho de supresión se le puede oponer la obligación de conservar los datos, por ejemplo, por motivos fiscales o en el caso de los expedientes de los pacientes en los médicos.
Si ambas preguntas pudieran responderse positivamente, las empresas están obligadas a eliminar los datos "sin demora", según el GDPR. ¿Qué significa esto en la práctica? Un concepto de borrado profesional es muy adecuado. Por "inmediato" debe entenderse entonces que las empresas no retrasan culpablemente el borrado en el marco de sus procesos técnicos y organizativos habituales.
Pero también se reconoce generalmente que, por razones técnicas, no todos los borrados funcionan con un clic del ratón. Esto se aplica, por ejemplo, a las copias de seguridad, cuya eliminación puede llevar meses. Sin embargo, el siguiente plazo juega un papel importante: si los datos ya han sido borrados, si el proceso de borrado está en curso o si hay razones para no borrarlos: Las empresas deben informar al solicitante de las medidas adoptadas en el plazo de un mes, de forma gratuita.
Excepciones al borrado de datos
El GDPR formula varios motivos que pueden alegarse contra una solicitud de borrado de datos personales. Entre ellos se encuentran el derecho a la libertad de expresión e información, las obligaciones legales que exigen el tratamiento, como los documentos relacionados con los impuestos o los historiales médicos, los intereses públicos o la afirmación, el ejercicio o la defensa de reclamaciones legales.
Esto implica a menudo decisiones de equilibrio en casos individuales. Por ejemplo, el Tribunal Federal de Justicia (BGH) rechazó una demanda de supresión contra el proveedor de motores de búsqueda Google. En este caso, el ex director general de una asociación benéfica ha querido trabajar para dejar de vincular las noticias negativas para él con la búsqueda de su nombre. Por el contrario, el BGH dictaminó que el interés público de la información pesaba más que esto.
Conclusión
El derecho al borrado es uno de los logros más importantes del GDPR. Requiere cierta confianza: después de todo, en la era de la información, ¿quién puede saber con seguridad si la última copia de seguridad de un conjunto de datos se ha borrado? Sin embargo, la pequeña prueba demuestra que el reglamento es eficaz. Ser "olvidado" es el derecho de todo ciudadano.
Sobre el autor