ARTÍCULO 17 DEL RGPD
El derecho a la eliminación de los datos personales
El derecho a la supresión de los datos personales significa que los interesados pueden solicitar que una empresa borre sus datos personales tratados por la empresa. El derecho del interesado a la supresión de datos personales también se conoce como «derecho al olvido».
Derecho del interesado a la supresión de datos personales en virtud del RGPD
El artículo 17 del RGPD establece este derecho. Este es uno de los ocho (8) derechos fundamentales que los interesados tienen en virtud del RGPD.
Anonimizar los datos personales en lugar de eliminarlos en virtud del derecho de supresión de los datos personales
Una empresa puede optar por anonimizar los datos personales en lugar de eliminarlos. El RGPD no cubre los datos personales anonimizados. Sin embargo, el tratamiento de datos personales dentro del propio proceso de anonimización está cubierto por el RGPD.
Los datos personales anónimos solo se convierten en «datos» ordinarios. Por lo tanto, ya no son «datos personales», ya que ya no pueden vincularse a una persona física viva. Tenga en cuenta que la anonimización y la seudonimización (una forma de desidentificación) no son lo mismo. Los datos personales seudonimizados siguen considerándose datos personales y están cubiertos por el RGPD.
Otros dos actos de la UE
- Ley de IA de la UE
- Ley de Datos de la UE
La empresa informará sobre la eliminación a terceros que hayan obtenido acceso a los datos personales
Cuando una empresa elimine datos personales a petición de un interesado, la empresa también informará sobre la eliminación. La empresa informará a los terceros a los que haya compartido los datos personales. Esto es con la condición de que sea posible y no implique un esfuerzo demasiado oneroso para llevar a cabo.
Además, la empresa debe informar al interesado de que se ha llevado a cabo la supresión. Además, el interesado tiene derecho a saber a qué terceros se han divulgado los datos personales.
Cuando una empresa puede conservar datos personales a pesar de que el interesado solicite el derecho a la supresión de datos personales
Hay ciertas situaciones en las que una empresa no necesita eliminar datos personales, incluso si el interesado lo solicita. A continuación se presentan ejemplos de excepciones a los casos en que no se aplica el derecho a la supresión de datos personales:
Libertad de expresión
Por lo que se refiere al derecho a la libertad de expresión;
Derecho estatutario
Si existe una obligación legal que requiere que la empresa procese los datos personales para cumplir con la ley;
Interés general
Cuando el tratamiento de datos personales se lleve a cabo en interés público;
Salud pública
Cuando el tratamiento de datos personales sea de interés público y esté relacionado con la salud pública;
Con fines de archivo
Cuando el tratamiento tiene lugar con fines de archivo;
Fines de investigación científica o histórica
si el tratamiento se realiza con fines de investigación científica o histórica;
Reclamaciones legales
Cuando la empresa guarda datos personales con el fin de defender una reclamación legal.
Cuando una empresa elimine los datos personales a petición del interesado
Estos son algunos ejemplos de cuándo una empresa debe eliminar datos personales a petición del interesado. Tenga en cuenta que esto se aplica siempre que no se aplique ninguna de las excepciones anteriores. De acuerdo con el derecho a la supresión de los datos personales en el RGPD, la empresa deberá suprimir los datos personales si:
- La empresa ya no necesita los datos personales para el propósito para el que fueron recopilados;
- El interesado ha dado su consentimiento que retira. Esto se aplica si la empresa no tiene otra base legal para continuar el procesamiento;
- Los datos personales se procesan con fines de marketing directo a los que se opone el interesado; o
- El tratamiento de los datos personales infringe la legislación aplicable.
Establecer procedimientos internos para borrar correctamente los datos personales de conformidad con el RGPD
De acuerdo con la regla general de RGPD, las empresas deben eliminar los datos personales que ya no son necesarios. Por lo tanto, las empresas deben eliminar regularmente los datos personales. Es importante establecer procedimientos internos para el borrado y anonimización de datos personales. De esta manera, los empleados pueden tener pautas a seguir para garantizar que se cumpla con RGPD en este sentido.
Por ejemplo, la empresa puede establecer ciertos días predeterminados durante el año en que se realizará la eliminación de datos personales. Los datos personales también existen en muchos lugares diferentes. Al igual que en correos electrónicos, documentos, material contable, almacenamiento en la nube digital y sistemas, etc. Por lo tanto, es bueno anotar todos los repositorios en un registro. A continuación, los empleados de la empresa pueden realizar un seguimiento más fácil de dónde están presentes los datos personales y realizar las supresiones necesarias con mayor facilidad.
Una empresa que no suprimió datos personales a petición recibió una amonestación
La Autoridad Sueca para la Protección de la Privacidad (IMY) emitió una amonestación a una empresa. La razón de esto fue que la empresa no borró datos personales a petición de un interesado. Además, la empresa proporcionó información incorrecta al interesado, alegando que los datos personales habían sido eliminados.
DERECHOS DE OTROS SUJETOS DE DATOS CON ARREGLO AL RGPD
Derecho a la limitación del tratamiento de los datos personales
Según el RGPD, los interesados tienen derecho a solicitar que la empresa limite el tratamiento de sus datos personales. Este derecho se aplica en ciertos casos y a menudo se combina con una solicitud de rectificación de datos personales. Cuando una empresa cumpla con el derecho a la limitación del procesamiento, la empresa marcará los datos personales. El propósito del marcado es garantizar que se procesen solo para el propósito limitado definido.