Tabla de contenidos

El derecho al olvido y la Consent Database de iubenda

El artículo 17 del RGPD, “Derecho a la supresión”, también conocido como el “derecho al olvido”, permite a las personas solicitar a los responsables del tratamiento la supresión de sus datos personales.

Pero el derecho al olvido implica mucho más que una simple solicitud por parte de una persona a una empresa para que elimine sus datos personales.

¿Tienes poco tiempo? Ir a:

¿Qué es el derecho al olvido? →
¿Cuándo se aplica el derecho al olvido? →
La Consent Database y el derecho al olvido →
- ¿Cómo gestionar las solicitudes de “derecho al olvido”?
- ¿Cómo suprimir los datos personales de un determinado usuario?
- ¿Cómo puedo notificar al usuario de que la solicitud se ha llevado a cabo?

¿Qué es el derecho al olvido?

El derecho al olvido aparece en el artículo 17 del RGPD, que establece que si se cumple una de las condiciones,

“El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir *sin dilación indebida”

*”sin dilación indebida” se considera en el plazo de un mes desde la recepción de la solicitud.

Además, el responsable del tratamiento debe tomar las medidas adecuadas para confirmar la identidad del interesado que está realizando la solicitud.

¿Cuándo se aplica el derecho al olvido?

Las condiciones específicas en las que se aplica el derecho al olvido se describen en el Artículo 17. Una persona tiene derecho a que se supriman sus datos personales si:

Los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos o tratados.
El interesado retira el consentimiento, y no existen otros motivos legales para el tratamiento.
El interesado se opone al tratamiento (basado en el interés legítimo) y no prevalecen otros motivos legítimos para el tratamiento. Esto se aplica incluso cuando se utilizan datos personales para la mercadotecnia directa.
Los datos personales han sido tratados ilícitamente.
Los datos personales deben suprimirse para que el responsable del tratamiento de cumplimiento a una obligación legal establecida en virtud de la legislación de la Unión Europea o de los Estados miembros.
Los datos personales que se han obtenido están relacionados con la prestación de servicios para la sociedad de la información.

¿Puede el responsable del tratamiento no aplicar el derecho al olvido solicitado por el usuario?

Sí, en las siguientes situaciones, el responsable del tratamiento puede no aplicar el derecho al olvido solicitado por el usuario:

Cuando el tratamiento es necesario para ejercer el derecho a la libertad de expresión e información.
Cuando el tratamiento es necesario para el cumplimiento de una tarea de interés público que se aplique al responsable del tratamiento, o para que este cumpla su responsabilidad oficial.
Cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
Cuando el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
Cuando el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones.

Además, si una organización puede demostrar que una solicitud de supresión de datos personales no era razonable o era incorrecta, la empresa puede exigir una “tasa razonable” o rechazar la solicitud.

A la hora de ejercer el derecho al olvido del usuario, entran en juego muchos factores, y cada solicitud debe ser evaluada individualmente.

Por razones de cumplimiento, la prueba del consentimiento de los usuarios y las posibles supresiones deben almacenarse en el dashboard de la Consent Database. Sin embargo, el responsable del tratamiento que reciba una solicitud para ejercer el derecho al olvido debe considerar cada solicitud de forma individual.

Para que todas las actividades de tratamiento de datos se lleven a cabo sobre la base legal del consentimiento, el responsable del tratamiento debe mantener un registro con la prueba del consentimiento obtenido.

Por otro lado, los usuarios tienen derecho a revocar cualquier consentimiento previo que hayan otorgado para el tratamiento de sus datos personales.

Con la ayuda de la Consent Database, es posible gestionar el consentimiento de cada usuario y mantener los registros de consentimiento conforme lo exige el RGPD.

En primer lugar, corresponde al responsable del tratamiento determinar si debe llevarse a cabo una solicitud de supresión de datos personales y debe dar respuesta a la solicitud en el plazo de un mes y comunicar la decisión correspondiente:

si la comprobación realizada apunta a que es necesario tramitar la solicitud (se aplica una de las situaciones especificadas en el artículo 17 del RGPD); o
si la conclusión es que la solicitud no puede llevarse a cabo por algún motivo determinado. En este caso, el responsable del tratamiento también debe comunicar por qué no se ha podido tramitar la solicitud.

Supongamos que el resultado de la evaluación del responsable del tratamiento indica que es necesario suprimir los datos personales conservados en la Consent Database. En ese caso, iubenda estará disponible para ayudarte con los aspectos técnicos.

Sin embargo, el responsable del tratamiento tendrá que hacer un llamado a la API para registrar la supresión si quiere seguir adelante con una solicitud y ejercer el derecho al olvido de un usuario. Ten en cuenta que el responsable del tratamiento tendrá que modificar el llamado a la API para añadir los datos personales pertinentes.

Da un vistazo al siguiente ejemplo:

curl --location --request POST 'http://consent.iubenda.com/consent' --header 'Content-Type:application/json' --header 'ApiKey:YOUR_PRIVATE_API_KEY' --data-raw '{
  "subject":{
    "id":"subject_id"
  },
  "preferences":{
    "preferencel":"false",
    "preference2":"false",
    "rightToBeForgotten":"true"
  },
  "proofs":[
    {
      "content":"The user requested to be forgotten,and this is the proof of it"
    }
  ]
}
'

El responsable del tratamiento puede utilizar el mismo método de comunicación que el usuario ha empleado para realizar su solicitud. Por ejemplo, si el usuario realizó la solicitud con una dirección de correo electrónico, el responsable del tratamiento puede utilizar esa misma dirección de correo electrónico para ponerse en contacto con él.

Si necesitas asistencia para gestionar una solicitud de derecho al olvido de su usuario, no dudes en ponerte en contacto con nuestro equipo de soporte.

Más información:

¿Aún tienes preguntas?

Participa en uno de nuestros webinars gratuitos Envíanos un correo electrónico Chat en vivo

Documentación

El derecho al olvido y la Consent Database de iubenda

¿Tienes poco tiempo? Ir a:

¿Qué es el derecho al olvido?

¿Cuándo se aplica el derecho al olvido?

¿Puede el responsable del tratamiento no aplicar el derecho al olvido solicitado por el usuario?

La Consent Database y el derecho al olvido

¿Cómo se gestionan las solicitudes de derecho al olvido?

¿Cómo suprimir los datos personales de un determinado usuario?

¿Cómo puedo notificar al usuario de que la solicitud se ha llevado a cabo?

Más información:

¿Aún tienes preguntas?