Derecho al olvido (derecho de supresión)
El derecho al olvido, formalmente derecho de supresión, permite a toda persona solicitar la eliminación de sus datos personales cuando ya no son necesarios, se ha retirado el consentimiento o el tratamiento es ilícito. Consagrado en el artículo 17 del RGPD, este derecho no es absoluto y debe ponderarse con otras obligaciones legales.
El derecho al olvido tiene su origen en la sentencia Google Spain de 2014 del Tribunal de Justicia de la Unión Europea, antes de ser codificado en el RGPD. Obliga a los responsables del tratamiento a suprimir los datos personales «sin dilación indebida» en varios supuestos: cuando los datos ya no son necesarios para los fines para los que fueron recogidos, cuando el interesado retira su consentimiento o cuando el tratamiento es ilícito.
En el contexto del KYC y la conformidad, este derecho entra frecuentemente en conflicto con las obligaciones de conservación impuestas por las normativas contra el blanqueo de capitales. La mayoría de los marcos PBC exigen conservar los documentos de identidad y los resultados de verificación durante cinco años tras el fin de la relación comercial. Durante este periodo, una solicitud de supresión puede rechazarse legítimamente invocando la obligación legal de conservación.
Cuando se lleva a cabo la supresión, debe ser completa: bases de datos de producción, copias de seguridad, sistemas de terceros y encargados del tratamiento deben ser notificados. El responsable también debe informar a los destinatarios a quienes se hayan comunicado los datos, conforme al artículo 19 del RGPD.
Regulaciones
Ejemplos concretos
- 1.Un antiguo cliente de un banco solicita la supresión de sus datos KYC: el banco rechaza la solicitud porque la relación comercial finalizó hace menos de cinco años y prevalece la obligación de conservación PBC.
- 2.Un usuario que creó una cuenta en una plataforma de crédito sin completar su solicitud ejerce su derecho de supresión: la plataforma debe eliminar todos sus datos ya que no existe obligación legal de conservación.
- 3.Un corredor de seguros recibe una solicitud de supresión y debe notificar a sus tres encargados del tratamiento (verificación de identidad, scoring, archivo) para que también eliminen los datos del interesado.