Derecho de supresión: Cuándo puede ejercerse y cómo puede cumplirlo

El derecho de supresión es un concepto que se ha situado en el centro de los debates sobre privacidad en entornos digitales. 

El auge de la economía basada en datos y fenómenos como el Big Data ha supuesto una serie de transformaciones en la relación que los clientes tienen con las empresas. Normas como el GDPR (y su adopción en España en legislaciones como el RGPD y la LOPDGDD) vienen a regular la capacidad de los ciudadanos a tener un mayor control sobre sus datos personales.

Así, el derecho de supresión se define como el derecho a la eliminación de los datos personales que le conciernen de las bases de datos de aquellas organizaciones que los estén tratando.

Con la llegada de esta normativa, muchas empresas se ven en la obligación de saber cómo cumplir con la ley de protección de datos y, a la par, poder aprovechar todo el potencial que éstos les brindan.

El cumplimiento con el derecho de supresión no solo es obligatorio si no que el incumplimiento puede llevar a cuantiosas multas: según el despacho DLA Piper, las sanciones en torno al RGPD alcanzan casi 1.100 millones de euros en un solo año en Europa.

¿Quieres saber cómo garantizar que tu empresa cumple con sus obligaciones de protección de datos? Te contamos todas las claves.

¿Cómo cumplir con el derecho de supresión y Derecho al Olvido?

Automatización de borrado de datos

Para cumplir con el derecho de supresión, las empresas deben estar preparadas para borrar los datos que conciernen a los usuarios en todos los casos recogidos por la ley.

Explicado de forma breve, el proceso conocido como “gestión de la semilla” de datos incluye dos fases: 

• Bloqueo de los datos desde el momento en que termina la relación comercial que originó la recopilación de datos en primer lugar. La gestión de este periodo supone también proporcionar un acceso seguro a los datos en caso de que sea necesario por requerimientos legales o administrativos.
• Gestión de la supresión. Pasado el estado de bloqueo, se debe proceder a la eliminación completa de los datos, eliminando también la posibilidad de restaurar los datos.

A través de tecnologías como icaria GDPR es posible la automatización de todas estas gestiones, garantizando que el derecho de supresión se cumple en todo momento.

Así, desde un software especializado en cumplimiento de GDPR es posible seleccionar qué datos personales suprimir, bloquearlos y aplicar actuaciones en ellos (verificación, restitución, disociación o borrado).

Anonimización y seudonimización

Anonimización y seudonimización son dos técnicas de enmascaramiento utilizadas para reemplazar información sensible dentro de un conjunto de datos. 

Estas técnicas facilitan el cumplimiento del derecho de supresión, basándose en la propia definición de “datos personales” que ofrece la ley. Si la norma define como datos personales aquellos que permitan identificar a una persona, las técnicas de enmascaramiento eliminan esta posibilidad de dos modos:

• Supresión de forma irreversible de la información que identifica a una persona (anonimización)

• Intercambio de la información sensible por sinónimos o seudónimos (seudonimización), pudiendo o no recuperar el dato original mediante una clave

Podría interesarte: Anonimización y seudonimización: similitudes y diferencias

En cualquier caso, ambas técnicas facilitan a las empresas cumplir con el derecho de supresión y, a la vez, mantener la inteligencia que los datos les proporcionan para su uso en entornos de prueba y otros contextos.

¿Cuándo puede ejercerse el derecho de supresión o derecho al olvido?

La ley recoge que un ciudadano puede ejercer el derecho de supresión (y su aplicación a buscadores como Google en el llamado derecho al olvido) en las siguientes ocasiones:

• Los datos personales ya no son necesarios en relación con los fines para los que fueron recogidos.
• El interesado retira el consentimiento que servía de base al tratamiento y éste no pueda fundarse en otro fundamento jurídico (obligación legal).
• El interesado se opone al tratamiento teniendo derecho a ello, y no prevalecen otros motivos legítimos para el tratamiento.
• Los datos personales han sido tratados ilícitamente.
• Los datos personales deben suprimirse para el cumplimiento de una obligación derivada del Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento.
• Los datos personales se han obtenido en relación con la oferta de servicios de la sociedad de la información mencionados, en el caso de oferta directa a niños.

Dentro de estas situaciones, es importante saber que el derecho de supresión también cuenta con algunas excepciones en las que podrán prevalecer el derecho a la libertad de expresión e información o el cumplimiento de una obligación legal o de una misión realizada en interés público. El uso de datos con fines de investigación científica o histórica o fines estadísticos también se incluye entre las posibles excepciones a las casuísticas citadas arriba.

Derecho de supresión en entornos digitales

El derecho de supresión nace directamente relacionado a las nuevas vulnerabilidades que los entornos digitales han supuesto para la privacidad de las personas. 

Así, esta normativa europea está orientada a permitir a los ciudadanos el borrado de sus datos sensibles, así como a eliminar el rastro que sus datos puedan haber dejado en la red (refiriéndose aquí específicamente a los motores de búsqueda como Google).

En este sentido, un software como icaria GDPR se convierte en el aliado de las empresas que necesitan garantizar que cumplen con el derecho de supresión. El proceso queda automatizado y planificado, permitiendo a las empresas una gestión integral de sus bases de datos que, a la par, observa de forma garantista los nuevos derechos de los ciudadanos vinculados a los datos.

¿Quieres saber más sobre icaria GDPR? Solicita una demo y comprueba de primera mano cómo puede ayudar a tu negocio.