Cómo demostrar el cumplimiento del artículo 17 del RGPD

El artículo 17 del RGPD (derecho de supresión) explica los derechos de las personas a solicitar la eliminación de sus datos personales y describe cuándo las organizaciones deben cumplirlos, junto con las excepciones en las que la retención de datos es legalmente requerida.

Solicite una demo
Autor
Max Edwards
Actualizado el 6 de marzo de 2025
LinkedIn Twitter Twitter

Entender el artículo 17 del RGPD: el derecho al borrado explicado

El artículo 17 aborda uno de los aspectos más importantes de la UE y el Reino Unido. GDPR ley: el "derecho al olvido" de los interesados, también escrito como "derecho a la supresión".

El artículo 17 enumera varias razones por las que un interesado puede desear ser olvidado, junto con la obligación de una organización de informar a otros responsables del tratamiento que también puedan estar procesando los datos de un interesado de acuerdo con su propia operación.

RGPD Artículo 17 Texto Legal

Versión del RGPD de la UE

Artículo 17 – Derecho de supresión ('derecho al olvido')

  1. El interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen sin demora indebida y el responsable del tratamiento tendrá la obligación de borrar los datos personales sin demora indebida cuando se aplique uno de los siguientes motivos:

    • los datos personales ya no son necesarios en relación con los fines para los cuales fueron recopilados o procesados ​​de otro modo;
    • el interesado retire el consentimiento en el que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y cuando no exista otro fundamento jurídico para el tratamiento;
    • el interesado se opone al procesamiento de conformidad con el artículo 21, apartado 1, y no existen motivos legítimos imperiosos para el procesamiento, o el interesado se opone al procesamiento de conformidad con el artículo 21, apartado 2;
    • los datos personales han sido procesados ​​ilegalmente;
    • los datos personales deben eliminarse para cumplir con una obligación legal del derecho de la Unión o de los Estados miembros a la que está sujeto el responsable del tratamiento;
    • los datos personales han sido recopilados en relación con la oferta de servicios de la sociedad de la información a que se refiere el artículo 8, apartado 1.
  2. Cuando el responsable del tratamiento haya hecho públicos los datos personales y esté obligado, de conformidad con el apartado 1, a borrarlos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de implementación, adoptará medidas razonables, incluidas medidas técnicas, para informar a los responsables del tratamiento que procesar los datos personales que el interesado ha solicitado, la eliminación por parte de dichos controladores de cualquier enlace, copia o replicación de esos datos personales.
  3. Los apartados 1 y 2 no se aplicarán en la medida en que el tratamiento sea necesario:

    • por ejercer el derecho a la libertad de expresión e información;
    • para el cumplimiento de una obligación legal que requiere un tratamiento conforme al Derecho de la Unión o de los Estados miembros a la que está sujeto el responsable del tratamiento o para el desempeño de una tarea realizada en interés público o en el ejercicio de un poder público conferido al responsable del tratamiento;
    • por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), así como con el artículo 9, apartado 3;
    • para fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, en la medida en que el derecho mencionado en el apartado 1 pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho Procesando; o
    • para el establecimiento, ejercicio o defensa de reclamaciones legales.

Versión del RGPD del Reino Unido

Artículo 17 – Derecho de supresión ('derecho al olvido')

  1. El interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen sin demora indebida y el responsable del tratamiento tendrá la obligación de borrar los datos personales sin demora indebida cuando se aplique uno de los siguientes motivos:

    • los datos personales ya no son necesarios en relación con los fines para los cuales fueron recopilados o procesados ​​de otro modo;
    • el interesado retire el consentimiento en el que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y cuando no exista otro fundamento jurídico para el tratamiento;
    • el interesado se opone al procesamiento de conformidad con el artículo 21, apartado 1, y no existen motivos legítimos imperiosos para el procesamiento, o el interesado se opone al procesamiento de conformidad con el artículo 21, apartado 2;
    • los datos personales han sido procesados ​​ilegalmente;
    • los datos personales deben ser suprimidos para cumplir con una obligación legal conforme al derecho interno, a la que está sujeto el responsable del tratamiento;
    • los datos personales han sido recopilados en relación con la oferta de servicios de la sociedad de la información a que se refiere el artículo 8, apartado 1.
  2. Cuando el responsable del tratamiento haya hecho públicos los datos personales y esté obligado, de conformidad con el apartado 1, a borrarlos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de implementación, adoptará medidas razonables, incluidas medidas técnicas, para informar a los responsables del tratamiento que procesar los datos personales que el interesado ha solicitado, la eliminación por parte de dichos controladores de cualquier enlace, copia o replicación de esos datos personales.
  3. Los apartados 1 y 2 no se aplicarán en la medida en que el tratamiento sea necesario:

    • por ejercer el derecho a la libertad de expresión e información;
    • para el cumplimiento de una obligación legal que requiera un procesamiento conforme a la legislación nacional o para el desempeño de una tarea realizada en interés público o en el ejercicio de poderes oficiales conferidos al responsable del tratamiento;
    • por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), así como con el artículo 9, apartado 3;
    • para fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, en la medida en que el derecho mencionado en el apartado 1 pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho Procesando; o
    • para el establecimiento, ejercicio o defensa de reclamaciones legales.


Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


Comentario técnico

Los interesados ​​no pueden ejercer un derecho general a que se borren sus datos. Las solicitudes deben estar de acuerdo con uno de los siguientes criterios legales:

  • los datos ya no son necesarios para los fines iniciales;
  • retirada del consentimiento (cuando toda la base para el procesamiento se basa en el consentimiento);
  • una objeción al procesamiento, o la ausencia de motivos legítimos para la recopilación y/o el procesamiento;
  • procesamiento ilegal/ilegal;
  • cumplimiento de otra obligación legal;
  • fines relacionados con la protección de la infancia.

Si una organización ha hecho públicos datos personales, por cualquier motivo, debe tomar "medidas razonables" para informar a otros controladores (incluidos los empleados) y a terceros de la necesidad de borrar datos, según lo solicite el interesado.

ISO 27701 Cláusula 7.2.2 y Artículo 17 del RGPD UE

En esta sección hablamos de los artículos 17 (3)(a), 17 (3)(b), 17 (3)(c), 17 (3)(d) y 17 (3)(e) del RGPD.

Identificar una base legal

Para formar un documentado base legal para procesar la PII en primera instancia, las organizaciones deben:

  1. buscar consentimiento;
  2. iniciar un contrato;
  3. cumplir con cualquier otra obligación legal;
  4. proteger los 'intereses vitales' de los directores de PII en cuestión;
  5. realizar únicamente tareas que sean de interés público;
  6. garantizar que las actividades de procesamiento constituyan un interés legítimo.

Las organizaciones también deben considerar cualquier "categoría especial" de PII que se relacione con un esquema de clasificación de datos (ver ISO 27701 Cláusula 7.2.8).

Respaldo de cláusulas ISO 27701

  • ISO 27701 7.2.8


El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 7.3.5 y Artículo 17 del RGPD UE

En esta sección hablamos de los artículos 17 (1)(a), 17 (1)(b), 17 (1)(c), 17 (1)(d), 17 (1)(e), 17 ( 1)(f), 17 (2)

Proporcionar mecanismos para oponerse al procesamiento de PII

Las leyes varían de una región a otra, pero las jurisdicciones a menudo otorgan a las personas el derecho a presentar una objeción relacionada con la forma en que se recopilan, procesan y comparten sus datos.

De acuerdo con esto, las organizaciones deberían:

  1. registrar cualquier requisito legal o reglamentario que se ocupe de objeciones específicas;
  2. Proporcionar a las personas instrucciones claras, concisas y fáciles de entender sobre cómo oponerse a que sus datos sean recopilados, procesados ​​o compartidos.

ISO 27701 Cláusula 8.3.1 y Artículo 17 (2) del RGPD UE

Obligaciones con los directores de PII

Las organizaciones deben garantizar que los clientes reciban los medios adecuados para cumplir con sus obligaciones (es decir, la organización) como controladores de PII, en tres áreas operativas clave:

  1. legislativo;
  2. regulador;
  3. contractual.

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Artículo del RGPDCláusula ISO 27701Cláusulas de apoyo de ISO 27701
Artículos 17 (3)(a) a 17 (3)(e) del RGPD UE ISO 27701 7.2.2 ISO 27701 7.2.8
Artículos 17 (1)(a) al 17 (2) del RGPD UE ISO 27701 7.3.5Nona
Artículo 17 (2) del RGPD UE ISO 27701 8.3.1Nona

Cómo ayuda ISMS.online

El RGPD se considera generalmente como la regulación de privacidad y seguridad más estricta del mundo, y sus infracciones dan lugar a multas importantes. Puede ser ambiguo y abierto a interpretación, sugiriendo que las organizaciones deben proporcionar un nivel "razonable" de protección de los datos personales.

Pero aquí están las buenas noticias. ISMS.online le facilita iniciar su camino hacia el cumplimiento del RGPD y demostrar fácilmente un nivel de protección que va más allá de lo "razonable", todo en una ubicación segura y siempre activa.

La plataforma ISMS.online tiene orientación integrada en cada paso combinada con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', por lo que el esfuerzo requerido para demostrar su enfoque hacia el RGPD se reduce sustancialmente. También se beneficiará de una gama de potentes funciones que le permitirán ahorrar tiempo.

Descubre más por reservando una breve demostración hoy.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!