Protección de Datos

Derecho de supresión y al olvido (art. 17 RGPD)

Derecho de supresión y derecho al olvido (art. 17 RGPD): supuestos, excepciones, bloqueo del art. 32 LOPDGDD y olvido en buscadores, con la doctrina Costeja.

También disponible en:English·Français·Deutsch

En una frase. El derecho de supresión del art. 17 RGPD obliga al responsable a borrar los datos personales sin dilación indebida cuando concurre alguno de sus supuestos —ya no son necesarios, se retira el consentimiento, hay oposición o el tratamiento es ilícito—, salvo que aplique una excepción como una obligación legal o la libertad de expresión.

Puntos clave

  • El derecho de supresión (art. 17.1) opera cuando los datos ya no son necesarios, se retira el consentimiento, prospera la oposición, el tratamiento es ilícito o existe obligación legal de borrar.
  • No es absoluto: el art. 17.3 excepciona la libertad de expresión, el cumplimiento de obligaciones legales, el interés público y la defensa de reclamaciones.
  • En España, cuando no cabe borrar por obligaciones legales, se aplica el bloqueo de datos del art. 32 LOPDGDD, no la conservación normal.
  • El derecho al olvido en buscadores (arts. 93-94 LOPDGDD) nace de la doctrina Google Spain / Costeja del TJUE, de origen español.
  • La AEPD ha sancionado a Google LLC con 10 millones EUR (2022) por prácticas ligadas a la supresión y la transferencia de datos de solicitudes.

Qué es el derecho de supresión y cuándo aplica

El derecho de supresión —heredero de la antigua “cancelación”— permite al interesado obtener del responsable el borrado de sus datos personales sin dilación indebida. El art. 17.1 RGPD enumera los supuestos tasados en los que procede:

  • Los datos ya no son necesarios para los fines que motivaron su recogida o tratamiento.
  • El interesado retira el consentimiento y no existe otra base que legitime el tratamiento.
  • El interesado se opone al tratamiento (art. 21) y no prevalecen motivos legítimos imperiosos.
  • Los datos se trataron ilícitamente.
  • Deben suprimirse para cumplir una obligación legal.
  • Se recabaron en relación con servicios de la sociedad de la información ofrecidos a menores.

Cuando concurre uno de estos supuestos, el borrado es una obligación, no una concesión. Y si el responsable había hecho públicos los datos, el art. 17.2 le obliga a adoptar medidas razonables para informar a otros responsables de la solicitud de supresión.

Las excepciones del art. 17.3

El derecho de supresión no es ilimitado. El art. 17.3 RGPD lo excepciona cuando el tratamiento sea necesario para:

  • Ejercer la libertad de expresión e información.
  • Cumplir una obligación legal o una misión de interés público.
  • Fines de archivo, investigación científica o histórica o estadísticos.
  • La formulación, ejercicio o defensa de reclamaciones.

Ejemplo cotidiano: un cliente pide borrar su factura, pero la normativa fiscal y mercantil obliga a conservarla. Aquí no se borra: se aplica el régimen que explica la guía de limitación de la conservación.

El bloqueo de datos del art. 32 LOPDGDD

España añade una pieza propia. Cuando no cabe suprimir por existir obligaciones legales de conservación, el art. 32 LOPDGDD impone el bloqueo: los datos se reservan, con medidas técnicas y organizativas que impiden su tratamiento, y solo quedan a disposición de jueces, tribunales, el Ministerio Fiscal o las administraciones competentes para exigir posibles responsabilidades, durante el plazo de prescripción. No es conservación normal: es un limbo controlado. Distinguir supresión, bloqueo y conservación es clave para no incurrir en un tratamiento indebido tras la solicitud.

El derecho al olvido en buscadores

El derecho al olvido es una manifestación específica de la supresión frente a los motores de búsqueda. Su origen es español: la sentencia Google Spain, S.L. y Google Inc. contra AEPD y Mario Costeja (TJUE, asunto C-131/12, 13 de mayo de 2014) reconoció que un particular puede pedir la desindexación de resultados que asocian su nombre a información inadecuada, no pertinente o excesiva. Los arts. 93 y 94 LOPDGDD recogen ahora expresamente el derecho al olvido en búsquedas de internet y en servicios de redes sociales.

La AEPD impuso a Google LLC una multa de 10 millones EUR en 2022 por deficiencias en el procedimiento de gestión de solicitudes de supresión y por la comunicación de esas solicitudes a terceros (el proyecto Lumen) sin base adecuada. El caso confirma que la desindexación no es un trámite menor: su gestión defectuosa acarrea sanciones de primer nivel. Estos derechos se integran en el catálogo de derechos digitales de los arts. 79-97 LOPDGDD.

Supresión frente a otros derechos

La supresión se confunde a menudo con figuras próximas, y distinguirlas evita errores de tramitación. No es lo mismo suprimir que limitar el tratamiento (art. 18): la limitación “congela” los datos sin borrarlos, mientras que la supresión los elimina. Tampoco equivale a retirar el consentimiento: la retirada detiene el tratamiento futuro, pero no obliga por sí sola a borrar si existe otra base o una obligación de conservación. Y la supresión no es automática: el responsable debe comprobar que concurre un supuesto del art. 17.1 y que no aplica ninguna excepción antes de actuar.

Otra distinción clave: la supresión afecta a todos los responsables, mientras que el derecho al olvido opera específicamente frente a buscadores y redes. Un ciudadano puede lograr la desindexación de una noticia en Google sin que ello implique que el medio que la publicó deba borrarla, porque ahí puede prevalecer la libertad de información del art. 17.3.a). Esta asimetría es precisamente la que estableció la doctrina Costeja y la que sigue guiando las resoluciones de la AEPD en la materia.

Cómo tramitar una solicitud de supresión

Un procedimiento correcto sigue cinco pasos:

  1. Registrar la solicitud con fecha; el plazo es de un mes (art. 12.3 RGPD).
  2. Verificar la identidad de forma proporcionada.
  3. Comprobar el supuesto: ¿encaja en el art. 17.1? ¿aplica alguna excepción del art. 17.3?
  4. Decidir: borrar, bloquear (art. 32 LOPDGDD) o denegar de forma motivada.
  5. Comunicar al interesado y, si procede, a los destinatarios de los datos (art. 19) y a otros responsables (art. 17.2).

La diferencia entre supresión y bloqueo, y entre RGPD y matices nacionales, se entiende mejor con la guía de diferencias clave entre LOPDGDD y RGPD. No atender correctamente estas solicitudes es una fuente directa de sanciones RGPD.

Véase también: derecho a la portabilidad de datos, derecho de rectificación y modelos de respuesta a derechos ARCO.

FAQ

¿El derecho de supresión obliga siempre a borrar los datos?

No. Solo obliga cuando concurre un supuesto del art. 17.1 y no aplica ninguna excepción del art. 17.3. Si existe una obligación legal de conservación (fiscal, mercantil, laboral), no se borra: en España se aplica el bloqueo del art. 32 LOPDGDD.

¿Qué diferencia hay entre derecho de supresión y derecho al olvido?

El derecho de supresión es el borrado de datos frente a cualquier responsable. El derecho al olvido es su aplicación específica a los buscadores y redes sociales (arts. 93-94 LOPDGDD): la desindexación de resultados asociados al nombre de una persona.

¿Qué es el bloqueo de datos del art. 32 LOPDGDD?

Es la reserva de los datos, impidiendo su tratamiento con medidas técnicas y organizativas, cuando no pueden borrarse por obligaciones legales. Solo quedan disponibles para jueces, fiscalía y administraciones durante el plazo de prescripción de posibles responsabilidades.

¿Puede un menor ejercer el derecho de supresión con más facilidad?

Sí. El art. 17.1.f) refuerza la supresión de datos recabados de menores en servicios de la sociedad de la información. En España, además, se tiene en cuenta que el consentimiento del menor se admite a partir de los 14 años (art. 7 LOPDGDD).


Fuentes oficiales: AEPD, Reglamento (UE) 2016/679 (RGPD) y Ley Orgánica 3/2018 (LOPDGDD).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →