También conocido como el derecho de borrado, el GDPR otorga a las personas el derecho a solicitar a las organizaciones que eliminen sus datos personales. Pero las organizaciones no siempre tienen que hacerlo.
El Reglamento general de protección de datos (GDPR) rige cómo se deben recopilar, procesar y borrar los datos personales. El «derecho al olvido», que recibió mucha prensa después de la sentencia de 2014 del Tribunal de Justicia de la UE , sentó el precedente para la disposición del derecho de borrado contenida en el GDPR. Por supuesto, dados los intereses contrapuestos y la naturaleza hiperconectada de Internet, el derecho al olvido es mucho más complicado que un individuo simplemente solicitando que una organización borre sus datos personales. Este artículo analiza más de cerca cuándo las personas pueden hacer una solicitud de derecho al olvido, el valor que agrega para los residentes de la UE y cómo las organizaciones pueden crear un formulario de derecho al olvido para garantizar el cumplimiento de GDPR.
¿Qué es el derecho al olvido?
El derecho al olvido Chile aparece en los considerandos 65 y 66 y en el artículo 17 del RGPD . Establece: «El interesado tendrá derecho a obtener del controlador el borrado de los datos personales que le conciernen sin demora indebida y el controlador tendrá la obligación de borrar los datos personales sin demora indebida» si se cumple una de las siguientes condiciones se aplica. Se considera que el “retraso indebido” es de aproximadamente un mes. También debe tomar medidas razonables para verificar que la persona que solicita la eliminación sea realmente el interesado.
El derecho al olvido encaja con el derecho de las personas a acceder a su información personal en el artículo 15 . El derecho a controlar los datos personales no tiene sentido si las personas no pueden tomar medidas cuando ya no dan su consentimiento para el procesamiento, cuando hay errores importantes en los datos o si creen que la información se almacena innecesariamente. En estos casos, una persona puede solicitar que se borren los datos. Pero este no es un derecho absoluto. Si lo fuera, estarían en lo cierto los críticos que sostienen que el derecho al olvido no es más que una reescritura de la historia. Por lo tanto, el GDPR camina por una delgada línea en el borrado de datos.
¿Cuándo se aplica el derecho al olvido?
En el artículo 17, el RGPD describe las circunstancias específicas en las que se aplica el derecho al olvido. Una persona tiene derecho a que se borren sus datos personales si:
Los datos personales ya no son necesarios para el propósito que una organización los recopiló o procesó originalmente y quiere solicitar una eliminación de datos en Chile.
Una organización se basa en el consentimiento de una persona como base legal para procesar los datos y esa persona retira su consentimiento.
Una organización se basa en intereses legítimos como justificación para procesar los datos de una persona, la persona se opone a este procesamiento y no existe un interés legítimo primordial para que la organización continúe con el procesamiento.
Una organización está procesando datos personales con fines de marketing directo y el individuo se opone a este procesamiento.
Una organización procesó los datos personales de un individuo de manera ilegal.
Una organización debe borrar los datos personales para cumplir con una regla u obligación legal.
Una organización ha procesado los datos personales de un niño para ofrecer sus servicios de sociedad de la información .
El Reglamento General de Protección de Datos (GDPR) ha alterado radicalmente la forma en que los controladores y procesadores de datos recopilan, procesan y almacenan los datos personales.
Uno de los aspectos más desafiantes de la nueva regulación es el de eliminar datos, ya sea al vencimiento de un acuerdo o contrato, o como parte de una solicitud de ‘derecho a borrar’, anteriormente conocido como ‘el derecho al olvido’. Por supuesto, dado que las grabaciones de llamadas de voz se consideran procesamiento de datos, también se incluyen en este ámbito.
Según el RGPD, los controladores y procesadores de datos están obligados a devolver o eliminar todos los datos personales después de la finalización de los servicios, o al vencimiento de un contrato o acuerdo, a menos que sea necesario conservar los datos por ley.
El proyecto de ley también incluye el derecho al olvido, también conocido como ‘derecho al borrado’, mediante el cual las personas pueden exigir que se eliminen sus datos si ya no son necesarios para el propósito para el que se recopilaron, o si no hay una razón ‘convincente’ para su procesamiento continuo.
También pueden exigir que borren sus datos si han retirado su consentimiento para la recopilación de sus datos u objetar la forma en que se procesan. El controlador es responsable de decirle a otras organizaciones que elimine cualquier enlace a copias de esos datos, así como las copias mismas.
El derecho a borrar no proporciona un «derecho al olvido» absoluto. Las personas tienen derecho a que se borren sus datos personales y a evitar el procesamiento en circunstancias específicas:
- Cuando los datos personales ya no sean necesarios en relación con el propósito para el que fueron recopilados / procesados originalmente.
- Cuando el individuo retira su consentimiento.
- Cuando el individuo se opone al procesamiento y no existe un interés legítimo primordial para continuar con el procesamiento.
- Los datos personales fueron procesados ilegalmente (en violación del GDPR).
- Los datos personales deben borrarse para cumplir con una obligación legal.