¿El derecho al olvido y el derecho de supresión son lo mismo?

Son conceptos relacionados pero no idénticos. El derecho de supresión (artículo 17 RGPD) es el derecho general a solicitar que tus datos sean eliminados cuando se dan ciertas condiciones. El derecho al olvido es la aplicación específica de ese derecho en el entorno digital, especialmente en buscadores de internet: cuando alguien pide que ciertos resultados vinculados a su nombre dejen de aparecer en Google u otros motores de búsqueda. En la práctica, ambos términos se usan indistintamente, aunque técnicamente el derecho al olvido es una forma particular del derecho de supresión.

¿Puedo pedir a Google que elimine resultados de búsqueda sobre mí?

Sí. Google dispone de un formulario específico para solicitar la eliminación de resultados bajo el derecho al olvido. El buscador evalúa cada solicitud caso por caso, ponderando el interés del usuario en la supresión frente al interés público en la información. Si Google deniega la solicitud o no responde, puedes presentar una reclamación ante la AEPD, que tiene competencia para ordenar la eliminación de esos resultados.

¿Cuánto tiempo tiene mi empresa para responder a una solicitud de supresión?

Un mes desde la recepción de la solicitud. En casos de especial complejidad o cuando se reciben muchas solicitudes simultáneas, ese plazo puede ampliarse dos meses más, pero debes notificarlo al usuario dentro del primer mes explicando el motivo de la prórroga.

Derecho al olvido RGPD: gestión de consentimiento en tu web

Ilustración de un mapa de la UE y un candado abierto sobre ella

Cuando un usuario hace clic en «Rechazar» en tu banner de cookies, o retira el consentimiento que había dado anteriormente, no está simplemente cambiando una preferencia, está ejerciendo un derecho reconocido por el RGPD: retirar el consentimiento para el tratamiento de sus datos. Y en ese momento, tu web tiene obligaciones concretas.

El derecho al olvido no es solo una cuestión para abogados o grandes empresas. Es algo que ocurre cada vez que un usuario interactúa con el panel de cookies de tu web y tiene consecuencias técnicas y legales directas sobre cómo gestionas el seguimiento y los datos que has recopilado hasta ese momento.

Qué es el derecho al olvido

El derecho al olvido está recogido en el artículo 17 del RGPD, bajo el nombre formal de «derecho de supresión». Establece que cualquier persona puede solicitar que sus datos personales sean eliminados cuando ya no sean necesarios para la finalidad con la que se recogieron, o cuando retire el consentimiento que los legitimaba.

Es decir, si un usuario te dio permiso para tratar sus datos y ahora lo retira, estás obligado a dejar de tratarlos. Si esos datos ya no tienen otra base legal que justifique su tratamiento, deben eliminarse.

El artículo 17 también conecta este derecho con lo que se conoce como derecho al olvido en sentido estricto: si los datos se han hecho públicos (por ejemplo, en un resultado de búsqueda), el responsable del tratamiento no solo debe eliminar la información, sino que también tiene la obligación de comunicar a terceros que estén tratando esos datos la necesidad de que también procedan a suprimirlos.

Cuándo puede un usuario invocar el derecho al olvido

El RGPD reconoce este derecho en los siguientes supuestos:

Los datos ya no son necesarios para la finalidad con la que se recogieron
El usuario retira el consentimiento que servía de base legal para el tratamiento, y no existe otro fundamento jurídico que lo justifique
El usuario se opone al tratamiento y no prevalecen otros motivos legítimos
Los datos han sido tratados de forma ilícita
Los datos deben suprimirse para cumplir una obligación legal
Los datos se obtuvieron en relación con la oferta de servicios de la sociedad de la información a un menor

En el contexto de una web, el supuesto más habitual es el segundo: un usuario que en su día aceptó las cookies analíticas o publicitarias y ahora retira ese consentimiento.

Derecho al olvido y cookies: qué ocurre cuando se retira el consentimiento

Este es el punto donde el derecho al olvido se vuelve muy concreto para cualquier propietario de una web. Cuando un usuario retira su consentimiento de cookies, no basta con dejar de instalar nuevas cookies a partir de ese momento: hay que gestionar activamente lo que ya se ha recopilado.

Qué cookies deben bloquearse de inmediato

En el momento en que el usuario retira el consentimiento, todas las cookies no esenciales para cuyo uso se otorgó ese consentimiento deben dejar de activarse. Eso incluye:

Cookies de analítica (Google Analytics, Matomo, Hotjar...)
Cookies publicitarias y de remarketing (Meta Pixel, Google Ads...)
Cookies de personalización y perfilado
Scripts de terceros que instalan sus propios rastreadores

Las únicas cookies que pueden permanecer activas son las estrictamente técnicas o necesarias para el funcionamiento del sitio, que nunca requirieron consentimiento.

Cómo gestionar la retirada de consentimiento en tu web

Retirar el consentimiento debe ser tan fácil como darlo. Esto significa que el panel de configuración de cookies tiene que ser accesible en todo momento desde cualquier página de la web, no solo desde el banner inicial. Ocultarlo o dificultar su acceso puede constituir una infracción según los criterios de la AEPD.

Desde el punto de vista técnico, cuando un usuario modifica sus preferencias:

Los scripts asociados a las categorías rechazadas deben bloquearse inmediatamente
Las cookies ya instaladas correspondientes a esas categorías deben eliminarse del navegador
El cambio de preferencia debe quedar registrado en el log de consentimiento

El registro de consentimiento como prueba de cumplimiento

El RGPD exige que puedas demostrar que el consentimiento fue obtenido correctamente y que, cuando se retiró, dejaste de tratar los datos. Eso requiere un registro que documente:

Cuándo se otorgó el consentimiento y para qué categorías
Qué versión del banner vio el usuario
Cuándo se produjo la retirada del consentimiento
Qué cambios se aplicaron como consecuencia

Sin ese registro, no puedes demostrar cumplimiento aunque tu sistema funcione correctamente. Si la AEPD investiga tu web, corresponde al responsable del tratamiento demostrar el cumplimiento.

Cómo tramitar una solicitud de derecho al olvido en España

Cuando un usuario solicita formalmente la supresión de sus datos (más allá de retirar el consentimiento de cookies), el proceso en España funciona en dos pasos:

Paso 1: contactar directamente con el responsable del tratamiento. El usuario debe dirigirse a la empresa o propietario de la web que conserva sus datos, identificar qué datos quiere que se eliminen y explicar el motivo. El responsable tiene un mes para responder (ampliable a tres meses en casos complejos).

Paso 2: presentar una reclamación ante la AEPD. Si el responsable no responde en plazo, deniega la solicitud sin justificación suficiente, o la respuesta no es satisfactoria, el usuario puede presentar una reclamación ante la Agencia Española de Protección de Datos. La AEPD dispone de un formulario específico para ello en su web y ofrece orientación sobre cómo proceder.

Para solicitudes relacionadas con resultados en buscadores (Google, Bing...), el proceso es similar: primero se solicita directamente al buscador y si no atiende la solicitud, se puede acudir a la AEPD.

Límites del derecho al olvido: cuándo no se aplica

El derecho al olvido no es absoluto. El RGPD establece excepciones cuando el tratamiento de los datos es necesario para:

Ejercer el derecho a la libertad de expresión e información
Cumplir una obligación legal
Razones de interés público en el ámbito de la salud pública
Fines de investigación científica, histórica o estadística
La formulación, ejercicio o defensa de reclamaciones legales

En la práctica, para la mayoría de sitios web estas excepciones suelen ser poco frecuentes. Si un usuario pide que elimines sus datos de un formulario de contacto o sus preferencias de cookies, normalmente no existe ninguna excepción que lo impida.

Cómo Cookiebot te ayuda a gestionar el derecho al olvido

Gestionar correctamente la retirada de consentimiento de cookies no es solo una obligación legal: es una de las partes más difíciles de implementar bien de forma manual. Requiere bloquear scripts en tiempo real, actualizar el registro de consentimiento y asegurarse de que ningún plugin de terceros sigue activo sin autorización.

Cookiebot automatiza todo ese ciclo. Cuando un usuario retira su consentimiento o modifica sus preferencias, Cookiebot bloquea automáticamente los scripts correspondientes y actualiza el registro de consentimiento con la nueva preferencia. Todo queda documentado y disponible si la AEPD lo requiere. Funciona con WordPress, Shopify, Wix, Squarespace y otros CMS sin necesidad de configuración técnica avanzada.

Prueba Cookiebot gratis durante 14 días

Iniciar prueba gratuita

Derecho al olvido y cookies: qué pasa cuando un usuario retira su consentimiento

Mantente al día