Cómo demostrar el cumplimiento del artículo 17 del RGPD

Software de cumplimiento de RGPD

Reserve una demostración

foto,empresario,trabajando,en,moderno,loft,oficina,hombre,sentado,madera

El artículo 17 aborda uno de los aspectos más importantes de la UE y el Reino Unido. RGPD ley: el "derecho al olvido" de los interesados, también escrito como "derecho a la supresión".

El artículo 17 enumera varias razones por las que un interesado puede desear ser olvidado, junto con la obligación de una organización de informar a otros responsables del tratamiento que también puedan estar procesando los datos de un interesado de acuerdo con su propia operación.

RGPD Artículo 17 Texto Legal

Versión del RGPD de la UE

Artículo 17 – Derecho de supresión ('derecho al olvido')

  1. El interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen sin demora indebida y el responsable del tratamiento tendrá la obligación de borrar los datos personales sin demora indebida cuando se aplique uno de los siguientes motivos:

    • los datos personales ya no son necesarios en relación con los fines para los cuales fueron recopilados o procesados ​​de otro modo;

    • el interesado retire el consentimiento en el que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y cuando no exista otro fundamento jurídico para el tratamiento;

    • el interesado se opone al procesamiento de conformidad con el artículo 21, apartado 1, y no existen motivos legítimos imperiosos para el procesamiento, o el interesado se opone al procesamiento de conformidad con el artículo 21, apartado 2;

    • los datos personales han sido procesados ​​ilegalmente;

    • los datos personales deben eliminarse para cumplir con una obligación legal del derecho de la Unión o de los Estados miembros a la que está sujeto el responsable del tratamiento;

    • los datos personales han sido recopilados en relación con la oferta de servicios de la sociedad de la información a que se refiere el artículo 8, apartado 1.

  2. Cuando el responsable del tratamiento haya hecho públicos los datos personales y esté obligado, de conformidad con el apartado 1, a borrarlos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de implementación, adoptará medidas razonables, incluidas medidas técnicas, para informar a los responsables del tratamiento que procesar los datos personales que el interesado ha solicitado, la eliminación por parte de dichos controladores de cualquier enlace, copia o replicación de esos datos personales.

  3. Los apartados 1 y 2 no se aplicarán en la medida en que el tratamiento sea necesario:

    • por ejercer el derecho a la libertad de expresión e información;

    • para el cumplimiento de una obligación legal que requiere un tratamiento conforme al Derecho de la Unión o de los Estados miembros a la que está sujeto el responsable del tratamiento o para el desempeño de una tarea realizada en interés público o en el ejercicio de un poder público conferido al responsable del tratamiento;

    • por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), así como con el artículo 9, apartado 3;

    • para fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, en la medida en que el derecho mencionado en el apartado 1 pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho Procesando; o

    • para el establecimiento, ejercicio o defensa de reclamaciones legales.

Versión del RGPD del Reino Unido

Artículo 17 – Derecho de supresión ('derecho al olvido')

  1. El interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen sin demora indebida y el responsable del tratamiento tendrá la obligación de borrar los datos personales sin demora indebida cuando se aplique uno de los siguientes motivos:

    • los datos personales ya no son necesarios en relación con los fines para los cuales fueron recopilados o procesados ​​de otro modo;

    • el interesado retire el consentimiento en el que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y cuando no exista otro fundamento jurídico para el tratamiento;

    • el interesado se opone al procesamiento de conformidad con el artículo 21, apartado 1, y no existen motivos legítimos imperiosos para el procesamiento, o el interesado se opone al procesamiento de conformidad con el artículo 21, apartado 2;

    • los datos personales han sido procesados ​​ilegalmente;

    • los datos personales deben ser suprimidos para cumplir con una obligación legal conforme al derecho interno, a la que está sujeto el responsable del tratamiento;

    • los datos personales han sido recopilados en relación con la oferta de servicios de la sociedad de la información a que se refiere el artículo 8, apartado 1.

  2. Cuando el responsable del tratamiento haya hecho públicos los datos personales y esté obligado, de conformidad con el apartado 1, a borrarlos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de implementación, adoptará medidas razonables, incluidas medidas técnicas, para informar a los responsables del tratamiento que procesar los datos personales que el interesado ha solicitado, la eliminación por parte de dichos controladores de cualquier enlace, copia o replicación de esos datos personales.

  3. Los apartados 1 y 2 no se aplicarán en la medida en que el tratamiento sea necesario:

    • por ejercer el derecho a la libertad de expresión e información;

    • para el cumplimiento de una obligación legal que requiera un procesamiento conforme a la legislación nacional o para el desempeño de una tarea realizada en interés público o en el ejercicio de poderes oficiales conferidos al responsable del tratamiento;

    • por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), así como con el artículo 9, apartado 3;

    • para fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, en la medida en que el derecho mencionado en el apartado 1 pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho Procesando; o

    • para el establecimiento, ejercicio o defensa de reclamaciones legales.
Saltar al tema

Comentario técnico

Los interesados ​​no pueden ejercer un derecho general a que se borren sus datos. Las solicitudes deben estar de acuerdo con uno de los siguientes criterios legales:

  • los datos ya no son necesarios para los fines iniciales;

  • retirada del consentimiento (cuando toda la base para el procesamiento se basa en el consentimiento);

  • una objeción al procesamiento, o la ausencia de motivos legítimos para la recopilación y/o el procesamiento;

  • procesamiento ilegal/ilegal;

  • cumplimiento de otra obligación legal;

  • fines relacionados con la protección de la infancia.

Si una organización ha hecho públicos datos personales, por cualquier motivo, debe tomar "medidas razonables" para informar a otros controladores (incluidos los empleados) y a terceros de la necesidad de borrar datos, según lo solicite el interesado.

ISO 27701 Cláusula 7.2.2 y Artículo 17 del RGPD UE

En esta sección hablamos de los artículos 17 (3)(a), 17 (3)(b), 17 (3)(c), 17 (3)(d) y 17 (3)(e) del RGPD.

Identificar una base legal

Para formar un documentado base legal para procesar la PII en primera instancia, las organizaciones deben:

  1. buscar consentimiento;

  2. iniciar un contrato;

  3. cumplir con cualquier otra obligación legal;

  4. proteger los 'intereses vitales' de los directores de PII en cuestión;

  5. realizar únicamente tareas que sean de interés público;

  6. garantizar que las actividades de procesamiento constituyan un interés legítimo.

Las organizaciones también deben considerar cualquier "categoría especial" de PII que se relacione con un esquema de clasificación de datos (ver ISO 27701 Cláusula 7.2.8).

Respaldo de cláusulas ISO 27701

  • ISO 27701 7.2.8

Vea nuestra plataforma
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Somos rentables y rápidos

Descubra cómo eso aumentará su ROI
Obtenga su cotización

ISO 27701 Cláusula 7.3.5 y Artículo 17 del RGPD UE

En esta sección hablamos de los artículos 17 (1)(a), 17 (1)(b), 17 (1)(c), 17 (1)(d), 17 (1)(e), 17 ( 1)(f), 17 (2)

Proporcionar mecanismos para oponerse al procesamiento de PII

Las leyes varían de una región a otra, pero las jurisdicciones a menudo otorgan a las personas el derecho a presentar una objeción relacionada con la forma en que se recopilan, procesan y comparten sus datos.

De acuerdo con esto, las organizaciones deberían:

  1. registrar cualquier requisito legal o reglamentario que se ocupe de objeciones específicas;

  2. Proporcionar a las personas instrucciones claras, concisas y fáciles de entender sobre cómo oponerse a que sus datos sean recopilados, procesados ​​o compartidos.

ISO 27701 Cláusula 8.3.1 y Artículo 17 (2) del RGPD UE

Obligaciones con los directores de PII

Las organizaciones deben garantizar que los clientes reciban los medios adecuados para cumplir con sus obligaciones (es decir, la organización) como controladores de PII, en tres áreas operativas clave:

  1. legislativo;

  2. regulador;

  3. contractual.

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Artículo del RGPDCláusula ISO 27701Cláusulas de apoyo de ISO 27701
Artículos 17 (3)(a) a 17 (3)(e) del RGPD UEISO 27701 7.2.2ISO 27701 7.2.8
Artículos 17 (1)(a) al 17 (2) del RGPD UEISO 27701 7.3.5Ninguna
Artículo 17 (2) del RGPD UEISO 27701 8.3.1Ninguna

Cómo ayuda ISMS.online

El RGPD se considera generalmente como la regulación de privacidad y seguridad más estricta del mundo, y sus infracciones dan lugar a multas importantes. Puede ser ambiguo y abierto a interpretación, sugiriendo que las organizaciones deben proporcionar un nivel "razonable" de protección de los datos personales.

Pero aquí están las buenas noticias. ISMS.online le facilita iniciar su camino hacia el cumplimiento del RGPD y demostrar fácilmente un nivel de protección que va más allá de lo "razonable", todo en una ubicación segura y siempre activa.

La plataforma ISMS.online tiene orientación integrada en cada paso combinada con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', por lo que el esfuerzo requerido para demostrar su enfoque hacia el RGPD se reduce sustancialmente. También se beneficiará de una gama de potentes funciones que le permitirán ahorrar tiempo.

Descubre más por reservando una breve demostración hoy.

Mira cómo podemos ayudarte

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

¿No estás seguro de si construir o comprar?

Descubra la mejor manera de lograr el éxito del SGSI

Obtén tu guía gratis

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más