Derecho al Olvido del RGPD: Supresión del Artículo 17 (2026)

El derecho al olvido del RGPD le permite exigir que una organización elimine datos personales sobre usted cuando se cumpla uno de los seis supuestos específicos del artículo 17(1), a menos que una de las cinco excepciones del artículo 17(3) permita al responsable negarse. Establecido como derecho legal por el Tribunal de Justicia de la UE en 2014 y codificado en el Reglamento (UE) 2016/679, cubre tanto la supresión directa de las bases de datos de las empresas como la retirada de enlaces de los resultados de los motores de búsqueda. Los responsables deben responder en el plazo de un mes.
Para una visión general más amplia de los ocho derechos de los interesados del RGPD, consulte Derechos de los Interesados en el RGPD. Para conocer el contexto del reglamento en su conjunto, consulte ¿Qué es el RGPD?. Para el derecho complementario que le permite ver qué datos posee un responsable antes de decidir si solicita su supresión, consulte Solicitudes de Acceso del RGPD. Esta página es la guía completa sobre la supresión conforme al artículo 17.
Derecho al Olvido del RGPD: Supresión del Artículo 17 (2026)
Qué Dice Realmente el Artículo 17 del RGPD
El artículo 17(1) del Reglamento (UE) 2016/679 establece: el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, cuando concurra alguna de las seis circunstancias siguientes. La frase "sin dilación indebida" adquiere un significado concreto mediante el plazo de respuesta de un mes del artículo 12(3).
El considerando 65 del reglamento ofrece el propósito legislativo. Establece que un interesado debería tener derecho a que se rectifiquen los datos personales que le conciernan y un "derecho al olvido" cuando la conservación de tales datos infrinja el reglamento o el derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento, en particular cuando los datos ya no sean necesarios para los fines para los que fueron recogidos, cuando se haya retirado el consentimiento o cuando no exista otro fundamento jurídico para el tratamiento. El considerando 65 identifica el entorno en línea como el contexto en el que este derecho más importa, y señala explícitamente los datos compartidos durante la infancia como una preocupación prioritaria.
El considerando 66 añade la dimensión de la cascada en línea: el derecho de supresión debe ampliarse de manera que un responsable que haya hecho públicos datos personales esté obligado a informar a otros responsables que traten dichos datos de que supriman cualquier enlace a ellos, o cualquier copia o réplica de los mismos. Este considerando es el fundamento estructural directo de la obligación del artículo 17(2) de notificar a responsables terceros, y proporciona la base legislativa para aplicar el derecho a la retirada de enlaces por los motores de búsqueda incluso cuando la página fuente permanece activa.
Estos considerandos no son disposiciones legales vinculantes por sí mismos, pero son la guía interpretativa autorizada de la intención del legislador. Los tribunales de la UE y las autoridades de control usan los considerandos para resolver ambigüedades en los artículos operativos.
Los Seis Supuestos de Supresión Conforme al Artículo 17(1)
Una solicitud de supresión solo activa el artículo 17 si al menos uno de los siguientes seis supuestos, establecidos en el artículo 17(1)(a) a (f), se aplica a su situación. La siguiente tabla ofrece una referencia rápida; las secciones posteriores explican cada supuesto.
| Supuesto | Artículo | Activador |
|---|---|---|
| Datos ya no necesarios | 17(1)(a) | La finalidad original ha terminado |
| Consentimiento retirado | 17(1)(b) | El consentimiento era la única base jurídica y usted lo ha retirado |
| Oposición exitosa | 17(1)(c) | La oposición del artículo 21 tuvo éxito, o se opuso al marketing directo |
| Tratamiento ilícito | 17(1)(d) | Los datos se recopilaron o conservaron sin una base jurídica válida |
| Obligación legal de suprimir | 17(1)(e) | El derecho de la UE o de un Estado miembro exige específicamente la eliminación |
| Datos de menores para servicios digitales | 17(1)(f) | Datos recopilados de usted cuando era menor para un servicio de la sociedad de la información |
(a) Datos Ya No Necesarios para su Finalidad Original
Si una organización recopiló datos sobre usted para cumplir una finalidad específica e identificada y esa finalidad ha llegado a su fin, la organización no tiene base jurídica conforme al artículo 5(1)(e) (el principio de limitación del plazo de conservación) para seguir conservándolos. Un minorista que aún conserva perfiles conductuales detallados de una compra que usted realizó hace varios años, sin ninguna relación contractual o legal continua que justifique la conservación, es un ejemplo claro. La pregunta clave es si los datos siguen siendo necesarios para la finalidad específica para la que se recopilaron, no si el responsable puede imaginar un uso futuro hipotético.
Este supuesto es el que se invoca con más frecuencia en la práctica porque se aplica al abanico más amplio de actividades de tratamiento. No requiere que usted pruebe culpa o ilicitud por parte del responsable; simplemente requiere que la justificación original haya caducado.
(b) Consentimiento Retirado y No Existe Otra Base Jurídica
Si la única base jurídica para el tratamiento de sus datos personales era su consentimiento conforme al artículo 6(1)(a), y usted retira ese consentimiento, el responsable debe suprimir los datos. El calificador crítico es "no existe otra base jurídica": si el responsable puede señalar una justificación separada, como un contrato conforme al artículo 6(1)(b), una obligación legal conforme al artículo 6(1)(c), o un interés legítimo conforme al artículo 6(1)(f), puede negarse a la supresión únicamente por motivos de retirada del consentimiento.
Dos puntos importan en la práctica. Primero, la retirada del consentimiento es prospectiva: no hace ilícito el tratamiento que ocurrió antes de la retirada. Segundo, la carga recae en el responsable de identificar la base jurídica alternativa. No puede simplemente afirmar que existe una; debe especificar cuál se aplica y por qué.
(c) Oposición Exitosa Conforme al Artículo 21
El artículo 21(1) le otorga el derecho a oponerse al tratamiento basado en intereses legítimos o tareas de interés público. El responsable solo puede desestimar su oposición demostrando motivos legítimos imperiosos que prevalezcan sobre sus intereses, derechos y libertades. Cuando el responsable no tiene tales motivos, la oposición tiene éxito y se activa el artículo 17(1)(c): la supresión sigue de la oposición exitosa.
El artículo 21(2) crea una vía incondicional: oponerse al tratamiento con fines de marketing directo no conlleva ninguna prueba de ponderación. Un responsable que recibe una oposición al marketing directo no puede invocar motivos de interés público ni ninguna excepción del artículo 17(3) (salvo las que se apliquen de forma independiente a los datos en sí). La oposición del artículo 21(2) es una barrera completa al tratamiento de marketing directo, y debe seguirse la supresión de los datos conservados específicamente para esa finalidad.
(d) Tratamiento Ilícito
Cuando los datos se trataron infringiendo el RGPD (recopilados sin una base jurídica válida, conservados más allá del plazo lícito, tratados de una manera incompatible con la finalidad original, u obtenidos mediante medios engañosos), la supresión está disponible independientemente de si el responsable todavía tiene una "finalidad" técnica para los datos. Este supuesto abarca tanto la ilicitud inicial (los datos nunca deberían haberse recopilado) como la conservación posteriormente ilícita (los datos se recopilaron lícitamente pero se conservaron más allá del período permitido).
Una aplicación común: un responsable recurre al consentimiento como base jurídica, el formulario de consentimiento era inválido (casillas premarcadas, consentimiento agrupado, falta de finalidad específica), y el tratamiento fue por tanto ilícito desde el principio. El supuesto (d) se aplica incluso si el responsable ahora quisiera argumentar un interés legítimo retroactivamente.
(e) Supresión Exigida por el Derecho de la UE o de un Estado Miembro
Algunos reglamentos de la UE y leyes nacionales imponen plazos de conservación obligatorios seguidos de una eliminación obligatoria. Cuando dicha obligación legal exige específicamente la supresión tras un plazo definido, esa obligación en sí misma activa el supuesto del artículo 17(1)(e). Las leyes de conservación de historiales médicos en varios Estados miembros son un ejemplo: exigen que los registros se conserven durante un plazo legal y luego se destruyan.
Este supuesto es relativamente restringido: la obligación legal debe exigir específicamente la eliminación, no simplemente permitirla o guardar silencio al respecto.
(f) Datos Recopilados de un Menor para un Servicio de la Sociedad de la Información
El artículo 17(1)(f) es el supuesto de datos de menores y es el más difícil de resistir para un responsable. Conforme al artículo 8(1) del RGPD, la edad mínima predeterminada de consentimiento para los servicios de la sociedad de la información (plataformas de redes sociales, aplicaciones, juegos en línea y productos digitales similares) es 16 años. Los Estados miembros pueden reducir este umbral hasta un mínimo de 13 años, y muchos lo han hecho.
Cualquier dato recopilado sobre usted cuando estaba por debajo del umbral nacional aplicable, sin el consentimiento válido de los padres o tutores, se trató ilícitamente conforme al artículo 8. Esa recopilación ilícita activa simultáneamente el artículo 17(1)(d) y el artículo 17(1)(f). El considerando 65 lo señala explícitamente, indicando que el derecho al olvido es especialmente importante cuando el interesado era menor en el momento de la recopilación.
Fundamentalmente, este supuesto se aplica incluso si usted ahora es adulto. El hecho relevante es la edad a la que se recopilaron los datos, no su edad actual. Si usted creó una cuenta de redes sociales a los 14 años en un Estado miembro donde la edad de consentimiento era 16, puede invocar el artículo 17(1)(f) y (d) juntos como adulto que solicita la supresión de todos los datos recopilados durante ese período. La plataforma no puede basarse en su relación actual y lícita con usted como adulto para desestimar una solicitud de supresión dirigida a datos recopilados durante la infancia.
La única limitación práctica son las excepciones del artículo 17(3). Cuando cierta información deba conservarse por una obligación legal (por ejemplo, registros de transacciones financieras exigidos por la legislación fiscal), ese subconjunto específico puede conservarse. Pero es improbable que los perfiles conductuales, los datos publicitarios, el contenido que usted publicó como menor y los registros que sirven fines puramente operativos entren dentro de alguna excepción del artículo 17(3).
Las Cinco Excepciones: Cuándo se Puede Rechazar la Supresión Conforme al Artículo 17(3)
Incluso cuando se aplica uno de los seis supuestos del artículo 17(1), un responsable puede negarse lícitamente a suprimir si el tratamiento continuo es necesario para uno de los cinco fines enumerados en el artículo 17(3)(a) a (e). La siguiente tabla resume estas excepciones antes de que cada una se explique.
| Excepción | Artículo | Aplicación Típica |
|---|---|---|
| Libertad de expresión e información | 17(3)(a) | Periodismo, archivos de noticias, comentarios de interés público |
| Obligación legal o tarea de interés público | 17(3)(b) | Registros fiscales, historiales médicos, cumplimiento regulatorio |
| Salud pública | 17(3)(c) | Vigilancia de enfermedades, investigación médica |
| Archivo, investigación, estadística | 17(3)(d) | Archivos de interés público, conjuntos de datos de investigación científica |
| Reclamaciones judiciales | 17(3)(e) | Litigios, investigaciones regulatorias, arbitraje |
La carga recae en el responsable para identificar qué excepción se aplica y comunicárselo por escrito al rechazar una solicitud. Un rechazo genérico que no cite ningún motivo específico del artículo 17(3) constituye en sí mismo una infracción del RGPD.
(a) Libertad de Expresión e Información
El periodismo, el comentario, la opinión, el reportaje de interés público y el archivo de información de interés público genuino pueden entrar todos dentro de esta excepción. Esta es la excepción más litigada en el contexto de los motores de búsqueda, donde los operadores la invocan rutinariamente para justificar la conservación de enlaces a artículos de noticias sobre personas.
La excepción no es ilimitada. No todo artículo publicado sobre una persona privada califica como expresión protegida de interés público. La balanza se inclina hacia la privacidad cuando: los hechos son antiguos; la persona no desempeñó ningún papel público; la información no sirve ningún propósito público actual; o la persona era menor en el momento de los hechos. Se inclina hacia la expresión cuando: el sujeto es una figura pública; la información concierne el ejercicio de sus funciones públicas; los hechos son recientes; o el público tiene un interés genuino y continuo. Las Directrices 5/2019 del CEPD sobre los criterios del derecho al olvido en los casos de motores de búsqueda establecen una lista no exhaustiva de criterios para realizar esta evaluación, incluido el papel del interesado en la vida pública, la naturaleza de la información, el tiempo transcurrido y cualquier consideración de rehabilitación.
(b) Obligación Legal, Tarea de Interés Público o Ejercicio de Autoridad Oficial
Cuando el derecho de la UE o de un Estado miembro exige al responsable conservar los datos, este no puede simplemente eliminarlos a solicitud. El derecho laboral, el derecho fiscal, el derecho de la seguridad social, los requisitos contra el blanqueo de capitales y las normas de conservación de historiales médicos se encuentran entre las fuentes más comunes de plazos de conservación obligatorios. Las autoridades públicas y los organismos que ejercen funciones oficiales también entran dentro de esta excepción cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conforme al artículo 6(1)(e).
La excepción exige que la conservación sea genuinamente necesaria para la obligación legal o la tarea de interés público. Un responsable no puede señalar una norma legal tangencialmente relacionada como pretexto para conservar datos que quiere mantener por razones comerciales.
(c) Salud Pública
El tratamiento necesario por razones de interés público en el ámbito de la salud pública (vigilancia de enfermedades, epidemiología, farmacovigilancia, respuesta a amenazas sanitarias transfronterizas) puede prevalecer sobre una solicitud de supresión, particularmente para los datos de salud de categoría especial conforme al artículo 9. Esta excepción es invocada con menos frecuencia por empresas privadas y más comúnmente por organismos de salud pública y proveedores de atención médica.
(d) Archivo de Interés Público, Investigación Científica, Investigación Histórica o Fines Estadísticos
Las solicitudes de supresión pueden rechazarse cuando los datos se tratan con fines de archivo de interés público, o con fines de investigación científica o histórica, o fines estadísticos, siempre que conceder la supresión pudiera hacer imposible u obstaculizar gravemente el logro de esos objetivos. Los archivos nacionales, los estudios académicos longitudinales y los conjuntos de datos estadísticos oficiales son los beneficiarios más comunes de esta excepción.
El calificador clave es "obstaculizar gravemente": un responsable no puede invocar esta excepción como un escudo genérico para cualquier conjunto de datos que pudiera ser concebiblemente útil para investigaciones futuras. El obstáculo debe ser demostrablemente grave y el propósito de la investigación genuinamente de interés público.
(e) Formulación, Ejercicio o Defensa de Reclamaciones Judiciales
Si una organización necesita conservar datos para iniciar, tramitar o defenderse en litigios, arbitrajes, procedimientos regulatorios o procesos legales similares, puede invocar esta excepción. Se invoca con frecuencia en disputas laborales (donde los registros de RR. HH. pueden ser necesarios para defenderse de una reclamación de despido improcedente), en contextos de servicios financieros (donde los registros de transacciones son necesarios para investigaciones regulatorias), en reclamaciones de seguros y en asuntos de negligencia profesional.
La excepción cubre únicamente los datos necesarios para la reclamación o el procedimiento judicial específico, no todo el conjunto de registros del responsable. Una vez concluido el procedimiento, la justificación para la conservación continua bajo esta excepción se desvanece.
La Cascada a Otros Responsables: Artículo 17(2)
El artículo 17(2) aborda la situación en la que un responsable ya ha hecho públicos sus datos personales, por ejemplo publicándolos en un sitio web, compartiéndolos con socios publicitarios o distribuyéndolos a través de un mercado de datos. Cuando ese responsable está obligado conforme al artículo 17(1) a suprimir los datos que ha hecho públicos, el artículo 17(2) le exige tomar medidas razonables, incluidas medidas técnicas, teniendo en cuenta la tecnología disponible y el costo de su aplicación, para informar a los demás responsables que tratan esos datos de que usted ha solicitado la supresión de cualquier enlace a ellos, o cualquier copia o réplica de los mismos.
Esta es la disposición que hace que el derecho al olvido sea estructuralmente distinto de una simple solicitud de eliminación dirigida a una sola empresa. El responsable que publicó los datos tiene la obligación de notificar a los responsables posteriores de la solicitud de supresión. Esos responsables posteriores son entonces independientemente responsables de cumplir la obligación de supresión dentro de sus propios sistemas.
En el contexto de los motores de búsqueda, el artículo 17(2) crea una base independiente para presentar solicitudes de retirada de enlaces directamente a los operadores de motores de búsqueda, por separado de cualquier solicitud al editor original. Cuando un sitio web contiene contenido publicado lícitamente sobre usted, puede solicitar la retirada de enlaces al motor de búsqueda porque el motor de búsqueda es en sí mismo un responsable que ha tratado los datos públicos en el sentido del artículo 17(2). No tiene que obtener primero la eliminación de la página fuente para solicitar la retirada de enlaces.
Cómo Difiere la Supresión de una Solicitud de Acceso del Interesado
El derecho de supresión conforme al artículo 17 y el derecho de acceso conforme al artículo 15 (solicitud de acceso del interesado, o SAR) son derechos distintos que sirven a propósitos diferentes, aunque a menudo se usan en secuencia.
Una solicitud de acceso del interesado conforme al artículo 15 le otorga el derecho a obtener confirmación de si un responsable posee datos personales sobre usted, una copia de esos datos e información sobre cómo se están tratando. Esa información cubre las finalidades, la base jurídica, cualquier destinatario y el plazo de conservación. Una SAR es un derecho de obtención de información. Le permite descubrir qué posee un responsable antes de decidir qué hacer con esa información.
El derecho de supresión conforme al artículo 17 es un derecho de acción: ordena al responsable eliminar los datos. Los dos derechos están conectados lógicamente pero son procedimentalmente separados: una SAR no activa una obligación de supresión, y una solicitud de supresión no le da derecho a una copia de los datos antes de la eliminación.
En la práctica, muchos asesores de privacidad recomiendan presentar primero una SAR para entender con precisión qué datos posee un responsable, su base jurídica y su política de conservación. Con esa información, usted está mejor posicionado para identificar qué supuesto del artículo 17(1) se aplica y para prever qué excepciones del artículo 17(3) es probable que invoque el responsable.
Ambos derechos están sujetos al mismo plazo de respuesta de un mes conforme al artículo 12(3), y ambos son gratuitos conforme al artículo 12(5).
Dónde Nació el Derecho: Google Spain (C-131/12, 2014)
El derecho al olvido aplicado a los motores de búsqueda es anterior al RGPD. Fue creado por el Tribunal de Justicia de la Unión Europea en el asunto C-131/12, Google Spain SL y Google Inc. contra la Agencia Española de Protección de Datos (AEPD) y Mario Costeja González, Gran Sala, resuelto el 13 de mayo de 2014. El caso surgió conforme a la entonces vigente Directiva de Protección de Datos 95/46/CE; el RGPD posteriormente codificó y reforzó el principio en el artículo 17.
Los hechos: un ciudadano español, Mario Costeja González, pidió a Google que eliminara resultados de búsqueda que, al introducir su nombre, mostraban un anuncio de un periódico de 1998 sobre una subasta inmobiliaria por deudas que hacía tiempo se había resuelto. El artículo periodístico original se había publicado lícitamente. La cuestión era si Google, al indexar y devolver esos resultados, estaba sujeto en sí mismo a obligaciones de protección de datos.
El Tribunal sostuvo en el apartado 33 que la actividad de un motor de búsqueda (encontrar información publicada o colocada en internet por terceros, indexarla automáticamente, almacenarla temporalmente y ponerla a disposición de los internautas según un determinado orden de preferencia) debe calificarse como tratamiento de datos personales cuando esa información contiene datos personales. Esto resolvió una cuestión fundamental: los motores de búsqueda no son conductos pasivos.
En el apartado 34, el Tribunal sostuvo que el operador de un motor de búsqueda debe considerarse el responsable de ese tratamiento en el sentido del artículo 2(d) de la Directiva 95/46/CE (ahora el artículo 4(7) del RGPD), porque determina los fines y los medios de ese tratamiento. Esta fue la conclusión umbral que hizo jurídicamente posible el derecho a la retirada de enlaces: los motores de búsqueda son responsables del tratamiento con obligaciones de protección de datos.
Sobre el fondo del derecho de supresión, el Tribunal sostuvo en el apartado 88 que el operador de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona los enlaces a páginas web publicadas por terceros que contengan información relativa a esa persona, incluso cuando su publicación en sí misma en esas páginas sea lícita. El derecho a eliminar de los resultados de búsqueda es, por tanto, independiente de la licitud de la página fuente.
La prueba de ponderación del apartado 81 proporciona el estándar rector: los derechos a la privacidad y a la protección de datos de un interesado, conforme a los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE, "prevalecen, en principio, no solo sobre el interés económico del operador del motor de búsqueda, sino también sobre el interés del público en general en encontrar la información en cuestión". La excepción es cuando, por razones particulares, como el papel desempeñado por el interesado en la vida pública, la injerencia en los derechos fundamentales se justifica por el interés preponderante del público en general en tener acceso a la información en cuestión. Esta es la base de la distinción de las figuras públicas que sigue siendo central en todas las decisiones de retirada de enlaces en la actualidad.
Hasta Dónde Llega la Retirada de Enlaces: Google contra CNIL (C-507/17, 2019)
Tras la entrada en vigor del RGPD en mayo de 2018, la autoridad francesa de protección de datos, la Commission nationale de l'informatique et des libertés (CNIL), ordenó a Google implementar la retirada de enlaces en todas las versiones de su motor de búsqueda a nivel mundial, no solo en los dominios dirigidos a la UE. La CNIL razonó que limitar la retirada de enlaces a los dominios dirigidos a la UE era ineficaz porque cualquier usuario de la UE podía acceder fácilmente a los resultados eliminados a través de google.com u otro dominio ajeno a la UE.
Google impugnó el alcance mundial. En el asunto C-507/17, Google LLC contra CNIL, Gran Sala, resuelto el 24 de septiembre de 2019, el TJUE dictaminó que el derecho de la UE no exige la retirada de enlaces a nivel mundial.
La conclusión principal fue que el operador de un motor de búsqueda no está obligado a llevar a cabo la retirada de enlaces en todas las versiones de su motor de búsqueda a nivel mundial, sino en las versiones de ese motor correspondientes a todos los Estados miembros. Dos razones fundamentaron esta conclusión. Primero, el ámbito territorial del RGPD conforme al artículo 3 y el derecho al olvido conforme al artículo 17 no imponen, como cuestión de intención legislativa de la UE, requisitos más allá del territorio de la UE. Segundo, numerosos terceros Estados no reconocen el derecho a la retirada de enlaces o adoptan un enfoque materialmente diferente, e imponer los estándares de la UE a nivel mundial exigiría efectivamente que el derecho de la UE prevaleciera sobre las decisiones legales de esas jurisdicciones.
Sin embargo, la sentencia no deja a los usuarios de la UE desprotegidos en términos de acceso práctico. El Tribunal sostuvo que, dentro de la UE, los operadores que realizan la retirada de enlaces deben implementar medidas suficientemente eficaces para impedir que los usuarios de la UE accedan a los enlaces eliminados a través de versiones ajenas a la UE del motor de búsqueda. En la práctica, esto significa geobloqueo: cuando un usuario en Francia navega a google.com en lugar de a google.fr, el resultado eliminado debe seguir estando bloqueado para ese usuario según su presencia geolocalizada en la UE.
El resultado práctico: una solicitud de retirada de enlaces exitosa elimina el enlace de google.fr, google.de, google.it y todas las demás versiones de dominio de la UE. El geobloqueo debería impedir que los usuarios ubicados en la UE vean el resultado eliminado en google.com. El mismo enlace permanece visible para un usuario en Estados Unidos o Japón que accede a google.com desde fuera de la UE.
Aplicación del CEPD y la Acción Coordinada de 2025
El Comité Europeo de Protección de Datos (CEPD) ha emitido las Directrices 5/2019 sobre los criterios del derecho al olvido en los casos de motores de búsqueda conforme al RGPD, finalizadas tras una consulta pública en julio de 2020. Esas directrices establecen trece categorías de casos (que van desde interesados que desempeñaron papeles en procedimientos penales hasta víctimas de delitos y figuras públicas) e identifican los factores que las autoridades de control deben ponderar al evaluar si debe concederse o rechazarse una solicitud de retirada de enlaces.
En febrero de 2026, el CEPD publicó los resultados de su Acción de Aplicación Coordinada sobre el derecho de supresión (CEF 2025), que examinó cómo los responsables de toda la UE estaban implementando las solicitudes de supresión en la práctica. La acción coordinada encontró problemas generalizados: respuestas incompletas que reconocían las solicitudes pero no confirmaban si se había llevado a cabo la supresión; recurso a excepciones sin identificar adecuadamente qué excepción específica se aplicaba; y retrasos en la respuesta más allá del plazo de un mes sin invocar la ampliación permitida de dos meses. El informe instruyó a las autoridades de control de los Estados miembros participantes a dar seguimiento a los responsables con fallos de cumplimiento sistemáticos.
El mecanismo de aplicación coordinada refleja una maduración en cómo el CEPD aborda los problemas sistémicos. En lugar de dejar que cada autoridad nacional de protección de datos identifique el incumplimiento de forma independiente, el CEPD ahora coordina barridos de aplicación simultáneos en múltiples jurisdicciones sobre derechos de alta prioridad. La supresión se seleccionó para el barrido de 2025 precisamente por el volumen de reclamaciones sobre respuestas incompletas y rechazos injustificados.
Cómo Presentar una Solicitud de Supresión a un Responsable
El artículo 12(3) exige una respuesta en el plazo de un mes natural desde la recepción de la solicitud. No hay ningún formulario prescrito. Puede presentarla por correo electrónico, a través de un portal en línea de derechos de privacidad o por carta postal. La mayoría de las grandes organizaciones que operan bajo el RGPD ahora mantienen un portal dedicado de derechos de privacidad, normalmente enlazado desde el pie de página de su sitio web bajo etiquetas como "Derechos de Privacidad", "Solicitud del Interesado" o "Mis Opciones de Privacidad".
Qué Incluir en su Solicitud
Su solicitud debe ser lo suficientemente específica para permitir al responsable identificarlo y entender lo que pide. Incluya:
- Su nombre completo y cualquier identificador que la organización use para usted: dirección de correo electrónico, nombre de usuario de la cuenta, número de cliente o número de referencia.
- Los datos específicos o categorías de datos que desea que se supriman. Cuanto más preciso pueda ser, mejor. Si ha presentado primero una solicitud de acceso del interesado, tendrá una imagen más clara de lo que posee el responsable.
- El supuesto del artículo 17(1) en el que se basa. Nombrar el supuesto no es legalmente obligatorio, pero centra la atención del responsable y dificulta que la respuesta sea vaga. Por ejemplo: "Solicito la supresión conforme al artículo 17(1)(a) del RGPD porque los datos ya no son necesarios para la finalidad para la que se recopilaron" o "conforme al artículo 17(1)(b) porque por la presente retiro mi consentimiento y no existe otra base jurídica".
- Una solicitud de confirmación por escrito de que se ha llevado a cabo la supresión, identificando las categorías de datos eliminados.
- Sus datos de contacto para la respuesta.
Conforme al artículo 12(5), la respuesta es gratuita. Cuando las solicitudes son manifiestamente infundadas o excesivas (particularmente por su carácter repetitivo), el responsable puede cobrar una tarifa razonable o negarse a actuar, pero la carga de demostrar ese umbral recae por completo en el responsable. Una única solicitud de supresión claramente formulada no puede desestimarse como excesiva.
Verificación de Identidad
Un responsable puede pedirle información adicional para verificar su identidad si no puede hacerlo por medios comercialmente razonables. No puede usar esto como pretexto para rechazar la solicitud por completo ni para ampliar el plazo de respuesta sin previo aviso. El artículo 12(6) permite a un responsable solicitar información adicional necesaria para confirmar la identidad del interesado, pero debe hacerlo con prontitud y no debe usar el paso de verificación para agotar el plazo de respuesta de un mes.
Qué Ocurre Después de Presentar la Solicitud: Plazos y Escalado
El artículo 12(3) otorga al responsable un mes natural desde la recepción para responder. Para casos complejos o volúmenes elevados de solicitudes simultáneas, el artículo 12(3) permite una ampliación de hasta dos meses más, pero el responsable debe notificarle la ampliación y el motivo dentro del primer mes. En todo caso, debería recibir como mínimo un reconocimiento sustantivo dentro de un mes; el silencio no es una respuesta válida.
Si el responsable actúa sobre su solicitud, debe confirmar que se ha llevado a cabo la supresión e identificar qué datos o categorías de datos se eliminaron. Una respuesta que diga únicamente "hemos tomado nota de su solicitud" sin confirmar la acción no cumple con el artículo 12.
Si el responsable decide no actuar, el artículo 12(4) le exige informarle sin demora y a más tardar en el plazo de un mes desde la recepción, de los motivos para no actuar y de dos vías de escalado: el derecho a presentar una reclamación ante una autoridad de control (su autoridad nacional de protección de datos), y el derecho a solicitar la tutela judicial efectiva directamente contra el responsable ante los tribunales del Estado miembro donde el responsable esté establecido.
La infracción del artículo 17 (incluida la falta de respuesta a tiempo o un rechazo injustificado) se enmarca en el artículo 83(5)(b) del RGPD como una infracción de los derechos de los interesados. La multa administrativa máxima es de 20 millones de euros, o en el caso de una empresa, el 4% de la facturación anual mundial total del ejercicio financiero anterior, lo que sea mayor.
Cómo Presentar una Solicitud de Retirada de Enlaces a un Motor de Búsqueda
Para la retirada de enlaces de los resultados de búsqueda conforme a los artículos 17(1) y 17(2), presente la solicitud directamente al operador del motor de búsqueda, no al sitio web que aloja el contenido. El motor de búsqueda es un responsable independiente.
Su solicitud debe identificar:
- Las URL específicas que desea que se eliminen de los resultados de búsqueda (copie los enlaces exactos de su página de resultados de búsqueda).
- Las consultas de búsqueda que hacen que esas URL aparezcan en relación con su nombre.
- El supuesto del artículo 17(1) en el que se basa.
- Por qué los resultados son irrelevantes, obsoletos, excesivos o de otro modo injustificados en relación con su interés de privacidad, por ejemplo que los hechos son antiguos, que usted no era una figura pública, que el asunto se ha resuelto, o que usted era menor en el momento de los hechos.
Los operadores de motores de búsqueda revisan las solicitudes de retirada de enlaces de forma individual. Pueden rechazarlas cuando determinen que se aplica una excepción de interés público conforme al artículo 17(3)(a), particularmente para figuras públicas, hechos noticiosos recientes o en curso, o información sobre conducta profesional que sea genuinamente de interés público. Si un motor de búsqueda rechaza su solicitud, puede escalar a su autoridad nacional de protección de datos, que puede investigar y, si determina que el rechazo es injustificado, ordenar al operador que cumpla. También puede impugnar un rechazo directamente ante los tribunales del Estado miembro donde se encuentre el establecimiento en la UE del operador.
RGPD del Reino Unido: El Equivalente Posterior al Brexit
Tras el brexit, el Reino Unido retuvo el RGPD como el RGPD del Reino Unido conforme a la Ley de Retirada de la Unión Europea de 2018, junto con la Ley de Protección de Datos de 2018. El derecho de supresión conforme al RGPD del Reino Unido refleja el artículo 17 del RGPD de la UE en su estructura central: los mismos seis supuestos del artículo 17(1), las mismas cinco excepciones del artículo 17(3), y el mismo plazo de respuesta de un mes conforme al artículo 12(3).
Diferencias clave con el RGPD de la UE:
El RGPD del Reino Unido es aplicado por la Oficina del Comisionado de Información (ICO), no por las autoridades de control de los Estados miembros de la UE ni por el CEPD. Si usted se encuentra en el Reino Unido y su solicitud de supresión es rechazada, presenta la reclamación ante la ICO, no ante una autoridad de protección de datos continental.
La ICO ha publicado orientación detallada sobre el derecho de supresión tanto para individuos como para organizaciones, que cubre cómo evaluar si se requiere la supresión, cómo tramitar las solicitudes de menores y cuándo se aplican las excepciones. Esa orientación se basa en el mismo marco del artículo 17 pero puede divergir de la orientación del CEPD con el tiempo a medida que los dos sistemas legales evolucionan de forma independiente tras el brexit.
Para las personas: un residente del Reino Unido que ejerce derechos de supresión contra un responsable establecido en el Reino Unido presenta la reclamación ante la ICO. Un residente del Reino Unido que ejerce derechos contra un responsable establecido en la UE que trata datos de residentes del Reino Unido conforme al RGPD de la UE aún debe interactuar con la autoridad de protección de datos del Estado miembro de la UE correspondiente a efectos de aplicación del derecho de la UE, aunque la resolución práctica a menudo implica a ambas autoridades.
Sin Equivalente Federal en Estados Unidos
No existe un equivalente federal integral de EE. UU. al derecho al olvido del RGPD. Estados Unidos no cuenta con una ley federal general de privacidad de datos que otorgue a los consumidores un derecho universal a exigir la supresión de datos personales de organizaciones privadas.
El análogo más cercano a nivel estatal en EE. UU. es el derecho de eliminación conforme a la Ley de Privacidad del Consumidor de California, modificada por la Ley de Derechos de Privacidad de California (CCPA/CPRA), codificada en la sección 1798.105 del Código Civil de California. Ese derecho se aplica únicamente a los residentes de California que tratan con empresas cubiertas que cumplen umbrales específicos de ingresos o volumen de datos, y contiene su propia extensa lista de excepciones.
A nivel federal, la Ley de Protección de la Privacidad Infantil en Línea (COPPA), 15 U.S.C. sección 6501, otorga a los padres el derecho a solicitar la eliminación de datos personales recopilados en línea de menores de 13 años por operadores cubiertos por COPPA. El umbral de COPPA está fijado en 13 años sin discreción estatal, cubre únicamente a operadores dirigidos a menores o con conocimiento real de la recopilación de menores, y el derecho pertenece a los padres en lugar de a las personas mismas.
Los tribunales de EE. UU. generalmente se han negado a reconocer un derecho a obligar la eliminación de contenido lícito de los motores de búsqueda, basándose en la Primera Enmienda y la Sección 230 de la Ley de Decencia en las Comunicaciones. Un residente de EE. UU. no puede replicar una solicitud de supresión del artículo 17 conforme al derecho federal vigente.
Pasos Prácticos: Lista de Verificación Resumida
Ya sea que usted sea una persona que presenta una solicitud o una organización que decide cómo gestionar una, los siguientes pasos reflejan el marco del artículo 17.
Para personas que solicitan la supresión:
- Identifique cuál de los seis supuestos del artículo 17(1) se aplica a su situación.
- Considere presentar primero una solicitud de acceso del interesado conforme al artículo 15 para establecer exactamente qué datos posee el responsable y con qué base jurídica, particularmente si no está seguro de si se aplica el supuesto (a) (datos ya no necesarios).
- Presente la solicitud de supresión por escrito, nombrando el supuesto, los datos específicos y sus datos de contacto. Es gratuita.
- Anote la fecha de presentación: el plazo de un mes comienza a partir de la recepción.
- Si el responsable no ha respondido en el plazo de un mes, o ha rechazado la solicitud sin citar una excepción específica del artículo 17(3), presente una reclamación ante su autoridad nacional de protección de datos (en el Reino Unido: la ICO).
- Para la retirada de enlaces de motores de búsqueda, presente la solicitud directamente en el formulario de derechos de privacidad del operador con las URL específicas y sus motivos.
Para organizaciones que gestionan solicitudes de supresión:
- Verifique la identidad del solicitante mediante medios proporcionados y responda con prontitud.
- Evalúe si se aplica alguno de los seis supuestos.
- Si se aplica un supuesto, evalúe si alguna excepción del artículo 17(3) justifica la conservación continua. Documente la evaluación.
- Si va a suprimir, confirme por escrito qué datos se han eliminado.
- Si va a rechazar, especifique la excepción exacta del artículo 17(3) en la carta de rechazo e informe al solicitante de su derecho a reclamar ante la autoridad de control y a buscar la tutela judicial.
- Si los datos se han hecho públicos, cumpla con la obligación de cascada del artículo 17(2) y notifique a los responsables posteriores de la solicitud de supresión.
- Responda en el plazo de un mes; si se necesita una ampliación, notifíquelo al solicitante junto con el motivo antes de que expire el primer mes.
Descargo de responsabilidad: Esta página proporciona información legal general sobre el derecho de supresión del RGPD y no constituye asesoramiento legal. El derecho de protección de datos implica evaluaciones complejas y específicas de los hechos y varía entre los Estados miembros de la UE en aspectos importantes. Si se enfrenta a una situación específica de supresión como interesado o como responsable, consulte a un abogado especializado en protección de datos cualificado o a su autoridad nacional de protección de datos.
Guías Relacionadas
- Transferencias Internacionales de Datos del RGPD: Normas del Capítulo V (2026)
- ¿Se Aplica el RGPD a las Empresas de EE. UU.? Guía de Cumplimiento
- Ley de IA de la UE y Privacidad de Datos: la Intersección con el RGPD Explicada
- Leyes de Privacidad de Datos de la UE: RGPD, la Ley de IA y las Reformas Digitales 2025-2026
- ¿Qué es el RGPD? Guía Completa de la Protección de Datos en la UE (2026)
Preguntas frecuentes
¿Qué es el derecho al olvido conforme al RGPD?
El derecho al olvido es el nombre informal del derecho de supresión conforme al artículo 17 del Reglamento (UE) 2016/679 (RGPD). Otorga a las personas el derecho a solicitar que un responsable (cualquier organización que trate sus datos personales) elimine esos datos sin dilación indebida, cuando se aplique uno de seis supuestos específicos. Esos supuestos incluyen: los datos ya no son necesarios para la finalidad para la que se recopilaron; se ha retirado el consentimiento; la persona se ha opuesto con éxito al tratamiento; el tratamiento fue ilícito; una obligación legal exige la eliminación; o los datos se recopilaron de la persona cuando era menor para un servicio digital. El derecho no es absoluto: cinco excepciones del artículo 17(3) permiten a los responsables negarse cuando el tratamiento continuo es necesario para la libertad de expresión, obligaciones legales, salud pública, fines de investigación o la defensa de reclamaciones judiciales.
¿Cómo solicito la supresión conforme al RGPD?
Presente una solicitud de supresión por escrito al contacto de protección de datos del responsable o a su portal de derechos de privacidad, que normalmente está enlazado desde el pie de página del sitio web de la organización. Incluya su nombre e identificadores de cuenta, especifique qué datos o categorías de datos desea eliminar, indique el supuesto del artículo 17(1) en el que se basa, y solicite confirmación por escrito de la finalización. La solicitud es gratuita. El responsable debe responder en el plazo de un mes natural. Si se niega, debe dar motivos y decirle cómo reclamar ante su autoridad nacional de protección de datos. Si no responde en absoluto en el plazo de un mes, eso constituye en sí mismo una infracción del RGPD y puede reclamar ante su autoridad nacional de protección de datos.
¿Cuáles son las excepciones al derecho al olvido conforme al RGPD?
El artículo 17(3) establece cinco excepciones que permiten a un responsable rechazar una solicitud de supresión incluso cuando se cumple uno de los seis supuestos del artículo 17(1). Esas excepciones son: (a) libertad de expresión e información, que cubre el periodismo, el comentario y los archivos de interés público; (b) cumplimiento de una obligación legal o realización de una tarea de interés público, que cubre los plazos de conservación obligatorios conforme al derecho laboral, fiscal, sanitario y financiero; (c) salud pública, que cubre la vigilancia de enfermedades y la investigación médica; (d) archivo de interés público, investigación científica o histórica, o fines estadísticos, cuando la supresión obstaculizaría gravemente la investigación; y (e) formulación, ejercicio o defensa de reclamaciones judiciales, que cubre litigios y procedimientos regulatorios. El responsable debe identificar la excepción específica aplicable y comunicársela por escrito. Un rechazo genérico sin citar un motivo constituye en sí mismo una infracción del RGPD.
¿Se aplica el derecho al olvido a los resultados de búsqueda de Google?
Sí. El Tribunal de Justicia de la UE dictaminó en Google Spain (asunto C-131/12, 2014) que los motores de búsqueda son responsables del tratamiento y deben eliminar enlaces de los resultados a solicitud cuando se aplique uno de los supuestos del artículo 17(1), incluso si la página web subyacente permanece publicada lícitamente. Usted presenta una solicitud de retirada de enlaces directamente al operador del motor de búsqueda. Sin embargo, Google contra CNIL (asunto C-507/17, 2019) confirmó que el derecho de la UE no exige la eliminación a nivel mundial: la obligación se limita a las versiones del motor de búsqueda dirigidas a los Estados miembros de la UE (google.fr, google.de, etc.), aunque el geobloqueo debe impedir que los usuarios de la UE accedan a los resultados eliminados a través de dominios ajenos a la UE como google.com.
¿Cuánto tiempo tiene una empresa para eliminar mis datos después de que solicito la supresión?
Conforme al artículo 12(3) del RGPD, el responsable debe actuar y confirmar la acción en el plazo de un mes natural desde la recepción de su solicitud. El mes se cuenta desde la fecha en que se recibe la solicitud, no desde ningún acuse de recibo. El responsable puede ampliar este plazo hasta dos meses más para casos complejos o volúmenes elevados de solicitudes, pero debe notificarle la ampliación y explicar el motivo dentro del primer mes. El silencio durante más de un mes constituye una infracción del RGPD. Si no recibe respuesta en el plazo de un mes, presente una reclamación ante su autoridad nacional de protección de datos.
¿Puedo solicitar la supresión de datos que se recopilaron cuando yo era menor?
Sí, y este es uno de los supuestos de supresión más sólidos disponibles. El artículo 17(1)(f) del RGPD le otorga el derecho a solicitar la supresión de datos personales recopilados de usted como menor para un servicio de la sociedad de la información (una plataforma de redes sociales, aplicación, juego u servicio digital similar). El RGPD establece la edad mínima de consentimiento para dichos servicios en 16 años, aunque los Estados miembros pueden reducirla hasta un mínimo de 13 años. Si los datos se recopilaron de usted cuando estaba por debajo del umbral de edad aplicable, esa recopilación fue ilícita, y tiene motivos tanto conforme al artículo 17(1)(d) (tratamiento ilícito) como al artículo 17(1)(f). Puede presentar esta solicitud siendo adulto; lo que importa es su edad en el momento de la recopilación, no su edad actual.
¿Cuál es la diferencia entre una solicitud de supresión del RGPD y una solicitud de acceso del interesado?
Una solicitud de acceso del interesado (SAR) conforme al artículo 15 del RGPD es un derecho de información: le permite descubrir qué datos personales posee un responsable sobre usted, por qué los posee y cómo los está tratando. Una solicitud de supresión conforme al artículo 17 es un derecho de acción: ordena al responsable eliminar los datos. Los dos derechos a menudo se usan en secuencia, con una SAR primero para identificar qué datos existen y con qué base jurídica, y luego una solicitud de supresión una vez que se tiene esa información. Ambas son gratuitas y tienen un plazo de respuesta de un mes conforme al artículo 12. Presentar una SAR no activa automáticamente la supresión, y presentar una solicitud de supresión no le da derecho a una copia de los datos antes de que se eliminen.
¿Se aplica el derecho al olvido a nivel mundial o solo en la UE?
El derecho de supresión del RGPD se aplica a los interesados ubicados en la UE y a los responsables establecidos en la UE o que dirigen sus actividades a residentes de la UE. No se extiende automáticamente para cubrir el tratamiento de personas ajenas a la UE por empresas ajenas a la UE. Para la retirada de enlaces de motores de búsqueda en particular, el TJUE en Google contra CNIL (C-507/17, 2019) dictaminó que el derecho de la UE solo exige la eliminación de las versiones del motor de búsqueda dirigidas a los Estados miembros de la UE, no a nivel mundial. Un residente de EE. UU. no tiene ningún derecho del RGPD para exigir que una empresa de EE. UU. elimine datos, aunque puede tener derechos conforme a leyes estatales de EE. UU. como el derecho de eliminación de la CCPA de California.
¿Qué puedo hacer si una empresa rechaza mi solicitud de supresión?
Si un responsable rechaza su solicitud de supresión, debe darle motivos por escrito citando una excepción específica del artículo 17(3), y debe decirle cómo escalar. Usted tiene dos vías principales: primero, presentar una reclamación ante su autoridad de control nacional (en el Reino Unido, la ICO; en Francia, la CNIL; en Alemania, la autoridad estatal correspondiente o la BfDI; en Irlanda, la DPC), que puede investigar y ordenar al responsable que cumpla; segundo, solicitar la tutela judicial directamente contra el responsable ante los tribunales del Estado miembro donde el responsable esté establecido, conforme al artículo 79 del RGPD. Los rechazos injustificados y la falta total de respuesta pueden dar lugar a multas administrativas de hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor.
¿Existe un derecho al olvido en Estados Unidos?
No existe un equivalente federal en EE. UU. al derecho al olvido del RGPD. El análogo más cercano es el derecho de eliminación conforme a la CCPA/CPRA de California, codificado en la sección 1798.105 del Código Civil de California, que se aplica únicamente a los residentes de California que tratan con empresas cubiertas y contiene amplias excepciones. A nivel federal, COPPA otorga a los padres el derecho a solicitar la eliminación de datos recopilados de menores de 13 años, pero tiene un alcance más restringido y se aplica únicamente a operadores de servicios dirigidos a menores. Los tribunales de EE. UU. generalmente se han negado a exigir a los motores de búsqueda que eliminen contenido lícito, basándose en la Primera Enmienda y la Sección 230 de la Ley de Decencia en las Comunicaciones.
Fuentes y referencias
- Reglamento (UE) 2016/679 (RGPD), Diario Oficial de la Unión Europea, texto completo incluidos los artículos 12, 17, 21 y los considerandos 65-66(eur-lex.europa.eu)
- TJUE, asunto C-131/12, Google Spain SL y Google Inc. contra AEPD y Mario Costeja González, Gran Sala, 13 de mayo de 2014(eur-lex.europa.eu)
- TJUE, asunto C-507/17, Google LLC contra la Commission nationale de l'informatique et des libertés (CNIL), Gran Sala, 24 de septiembre de 2019(eur-lex.europa.eu)
- Directrices 5/2019 del CEPD sobre los Criterios del Derecho al Olvido en los Casos de Motores de Búsqueda conforme al RGPD, adoptadas el 7 de julio de 2020 tras consulta pública(edpb.europa.eu)
- CEPD, Acción de Aplicación Coordinada: Implementación del Derecho de Supresión por los Responsables (Informe CEF 2025, 18 de febrero de 2026)(edpb.europa.eu)
- Sección 1798.105 del Código Civil de California (derecho de eliminación de la CCPA/CPRA), Información Legislativa de California(leginfo.legislature.ca.gov)