El Reglamento General de Protección de Datos (RGPD) reconoce a las personas una serie de derechos sobre su información personal, entre ellos el llamado derecho al olvido. Este derecho permite al interesado solicitar la supresión de sus datos cuando ya no sean necesarios, cuando se haya retirado el consentimiento o cuando el tratamiento sea ilícito, entre otros supuestos.
Para las empresas, recibir una solicitud de este tipo no debe ser motivo de alarma, pero sí requiere una actuación rápida, ordenada y conforme a la ley. A continuación, detallamos qué pasos debe seguir una organización cuando un usuario ejercita el derecho al olvido y cómo actuar de forma diligente para garantizar el cumplimiento normativo.
Paso 1: Confirmar la identidad del solicitante
Lo primero que debe hacer la empresa es asegurarse de que quien presenta la solicitud es, efectivamente, el titular de los datos. Esto se realiza solicitando una prueba razonable de identidad, como una copia del documento nacional de identidad o un método de verificación equivalente.
Además, debe registrarse la fecha exacta de recepción de la solicitud, ya que la normativa establece un plazo máximo de un mes para ofrecer una respuesta. Si se requiere información adicional para tramitar correctamente la solicitud, esta debe pedirse lo antes posible, sin retrasar injustificadamente el proceso.
Paso 2: Evaluar si el derecho al olvido es aplicable
Aunque se trata de un derecho reconocido por el RGPD, el derecho al olvido no es absoluto. La empresa debe valorar si se dan las circunstancias legales que justifican la supresión de los datos, entre las que destacan:
Los datos ya no son necesarios para el fin con el que fueron recogidos.
El interesado ha retirado su consentimiento y no existe otra base legal que justifique el tratamiento.
El interesado se opone al tratamiento y no existen intereses legítimos que prevalezcan.
Los datos han sido tratados de forma ilícita.
Existe una obligación legal de suprimir los datos.
La información se recogió en el contexto de servicios dirigidos a menores.
En caso de que la solicitud no proceda, por ejemplo, porque la empresa debe conservar ciertos datos por motivos legales o contractuales, se deberá comunicar formalmente al usuario, explicando de forma clara y justificada las razones de la negativa.
Paso 3: Eliminar los datos de forma efectiva y segura
Si la solicitud es válida, la empresa debe proceder a la supresión de los datos de manera efectiva y segura. Esto implica:
Eliminar la información de todas las bases de datos internas donde se encuentre almacenada.
Revisar copias de seguridad y otros sistemas que puedan contener los datos, asegurándose de que también se eliminan de forma adecuada.
Comunicar a los encargados del tratamiento (por ejemplo, proveedores externos de servicios o plataformas digitales) la solicitud, para que ellos también procedan a la eliminación.
Todo este proceso debe quedar documentado internamente, no solo para garantizar el cumplimiento del RGPD, sino también para estar en condiciones de demostrar que se ha actuado conforme a la normativa en caso de inspección por parte de la Agencia Española de Protección de Datos.
Paso 4: Notificar al usuario la resolución
Una vez completado el proceso, la empresa debe informar al interesado de que sus datos han sido eliminados, indicando de forma general qué acciones se han llevado a cabo. La comunicación debe ser clara y transparente, evitando tecnicismos innecesarios.
Además, se debe informar al usuario de su derecho a presentar una reclamación ante la autoridad de control si considera que su solicitud no ha sido gestionada correctamente. En España, la autoridad competente es la Agencia Española de Protección de Datos (AEPD).
Paso 5: Revisar políticas y reforzar buenas prácticas
Las solicitudes de ejercicio de derechos son una oportunidad para que las empresas evalúen sus procesos de gestión de datos personales. Algunas recomendaciones clave tras recibir una solicitud de derecho al olvido son:
Revisar los formularios y canales de recogida de datos para asegurar que solo se recojan los estrictamente necesarios.
Establecer políticas de conservación de datos y eliminar automáticamente aquellos que ya no son útiles o legales.
Formar a los equipos implicados en la atención al cliente, marketing o recursos humanos sobre cómo gestionar este tipo de solicitudes.
Verificar que todos los proveedores de servicios cumplen con sus obligaciones como encargados del tratamiento.
Gestionar correctamente una solicitud de derecho al olvido no solo evita sanciones, sino que también contribuye a generar confianza en los usuarios y refuerza la reputación de la empresa como entidad comprometida con la privacidad y la protección de datos.
Preguntas frecuentes (FAQ)
- ¿Está mi empresa obligada a eliminar siempre los datos cuando lo solicita un usuario?
No. El derecho al olvido no es absoluto. Si existe una base legal para conservar esos datos —como el cumplimiento de una obligación fiscal, contractual o legal—, la empresa puede denegar la supresión. Eso sí, debe comunicar esta decisión al usuario, justificándola de forma clara.
- ¿Qué sucede si los datos del usuario también se encuentran en herramientas externas como plataformas de email marketing?
En ese caso, la empresa sigue siendo la responsable del tratamiento. Es imprescindible comunicar la solicitud a dichos proveedores (como Mailchimp, HubSpot, ActiveCampaign, etc.) y asegurarse de que también eliminan los datos en su sistema. Es recomendable contar con contratos actualizados con estos proveedores que incluyan cláusulas específicas sobre la gestión del derecho al olvido.
- ¿Qué consecuencias tiene no atender una solicitud de derecho al olvido?
No responder o hacerlo de forma incorrecta puede conllevar importantes consecuencias. La Agencia Española de Protección de Datos puede imponer sanciones económicas que, en función de la gravedad y del tamaño de la empresa, pueden alcanzar cifras elevadas. Además, puede generar una crisis de reputación y pérdida de confianza por parte de los usuarios.