El derecho a la supresión (derecho al olvido): una guía completa para empresas

Escrito porHubSecure Equipo editorial

Guías prácticas para portales de clientes seguros, RBAC, incorporación y operaciones de clientes regulados.

Revisado porHubSecure Security & Compliance Review

Revisado para determinar el posicionamiento de seguridad, la precisión del flujo de trabajo y la claridad de la implementación.

Última actualizaciónMay 7, 2026

Comprobado contra el sitio de marketing HubSecure y posicionamiento de productos.

El derecho a borrar —a veces denominado derecho a ser olvidado— da a las personas el derecho a eliminar sus datos personales sin demora indebida en determinadas circunstancias. El artículo 17 del RGPD establece tanto el derecho como sus límites. Comprender ambos es esencial para cualquier negocio regulado que reciba solicitudes de borrado de clientes, antiguos clientes, empleados o perspectivas.

Relacionados HubSecure

CRM CRM guía CRM cumplimiento CRM para empresas crecientes CRM módulo HubSpot cumplimiento de la comparación CRM guía guía Guía Biblioteca reservar un flujo de trabajo

Seguridad relacionada, privacidad y recursos de gobernanza

Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.

Caso de uso relacionado

Esta guía pertenece al grupo de guías de consolidación de herramientas y alternativas de espacio de trabajo. Continúe con el centro de productos para alternativas de espacio de trabajo y consolidación de herramientas.

Cuando se aplica el derecho a la eliminación

Una persona física puede solicitar la supresión cuando se aplique alguno de los siguientes motivos:

• Los datos personales ya no son necesarios para la finalidad para la que fueron recogidos.
• El individuo retira el consentimiento (y no existe otra base legal para el procesamiento)
• La persona se opone al procesamiento en virtud del artículo 21 y no existen motivos legítimos imperiosos.
• Los datos personales fueron procesados ​​ilegalmente.
• Se requiere la supresión del cumplimiento de una obligación jurídica
• The data was collected in relation to the offer of information society services to a child

Cuando se puede rechazar la era

El derecho a la supresión no se aplica cuando el procesamiento es necesario para uno de los siguientes propósitos (art. 17 3)):

• Ejercicio del derecho a la libertad de expresión e información
• Cumplimiento de una obligación jurídica, por ejemplo, requisitos de retención de AML/KYC, registros fiscales o requisitos de derecho laboral
• Salud pública (en interés público)
• Archivar el interés público, los propósitos científicos, históricos o estadísticos, en los que la erradicación perjudicaría gravemente esos propósitos
• Establecimiento, ejercicio o defensa de reclamaciones legales, si necesita los datos para litigios en curso o previstos

El plazo de respuesta de 30 días

Al igual que las DSAR, las solicitudes de borrado deben ser respondidas dentro de los 30 días calendarios de recepción. Usted debe confirmar que se ha llevado a cabo la borrada, explicar por qué se niega (incluyendo la exención específica), o solicitar una extensión (máximo dos meses, con aviso dentro de los primeros 30 días).

¿Qué significa realmente el borrado en la práctica?

El borrado no significa simplemente borrar el registro primario. Significa eliminar los datos personales del individuo de todos los lugares donde existe:

• Sus sistemas primarios (CRM, gestión de casos, HR)
• Archivos de correo electrónico y correspondencia
• Copias de seguridad (las copias de seguridad deben ser tratadas por separado, una toallita inmediata de todas las copias de seguridad puede no ser proporcional, pero los datos deben ser eliminados cuando la copia de seguridad es restablecida o sobrescrita)
• Procesadores - debe instruir a cualquier procesador de datos que mantenga los datos para borrarlos
• Los receptores de terceros, cuando se divulgaron datos a terceros, deben adoptar medidas razonables para informarles de la solicitud de borrado (párrafo 2 del artículo 17)

Documentar las decisiones de borrado

Si cumples o rechazas, documenta la decisión. Registro: quién hizo la solicitud, cuándo, qué datos se vieron afectados, qué decisión se tomó, los motivos de esa decisión, y qué medidas se tomaron. Esta documentación es esencial si el individuo se queja a una autoridad supervisora.

Cuando te niegas

Su notificación de denegación debe: informar a la persona de los motivos específicos para la negativa, aconsejarles de su derecho a reclamar a una autoridad supervisora, y aconsejarles de su derecho a solicitar un recurso judicial. Sé específico sobre qué exención se aplica: "lo necesitamos por razones legales" no es suficiente.

¿Se aplica borrado a los registros de papel así como a los registros digitales?

Sí. El derecho a borrar se aplica a todos los datos personales, independientemente de si se mantiene digital o en forma física. Los registros de papel que contienen los datos personales del individuo también deben ser destruidos, siguiendo sus procedimientos de eliminación seguros.

¿Y si borrar los datos haría que otros registros fueran incompletos o inexactos?

Esta es una verdadera tensión. Cuando el borrado completo distorsionaría otros registros (por ejemplo, la eliminación de una parte de un registro de transacción que debe mantenerse con fines fiscales), considere si la restricción del procesamiento en lugar de la eliminación completa es más apropiada. La restricción significa que los datos se almacenan pero no se utilizan, y puede satisfacer la preocupación del individuo sin requerir la destrucción de los registros legalmente requeridos.

Revisión de los equipos regulados

Preparado por el equipo editorial HubSecure para operadores, líderes de cumplimiento y revisores de TI que evalúan software seguro de operaciones cliente.

Autores · Revisores · Política editorial