SHIELD

Realidad de la exposición

El derecho al olvido: por qué casi nunca funciona

Anatomía honesta del derecho de supresión del RGPD — lo que cubre, lo que no cubre, y las alternativas pragmáticas cuando la supresión es imposible.

Publicado el 16 min de lectura General

Última revisión:

Servidores de datos en filas dentro de un centro de datos

Un directivo me pide hacer desaparecer un artículo de prensa de 2017. Tres meses más tarde, el artículo está desindexado en Google.es. Sigue visible en Google.com, en cuatro archivos, y en un volcado de prensa que cualquier herramienta OSINT escupe en treinta segundos. El cliente estaba convencido de haber «ganado». Sobre todo había pagado para desplazar el problema unos centímetros.

Angle de lecture

La trampa habitual

Le han vendido el derecho al olvidoArtículo 17 del RGPD: derecho a la supresión de datos personales bajo ciertas condiciones. como un botón rojo. Lo pulsa, el dato desaparece, su pasado se borra. Es el relato que portan los despachos de reputación en línea, los artículos de prensa de gran público, y buena parte de las conversaciones de barra sobre el RGPDReglamento europeo 2016/679 sobre la protección de datos personales, aplicable desde mayo de 2018.. «Tienes derechos, ejerce tus derechos.» La frase es jurídicamente cierta y operativamente hueca.

El problema no es que el derecho no exista. Existe, está codificado, la AEPDAutoridad española de protección de datos, regulador RGPD para España. lo hace cumplir, y ya ha permitido retiradas reales. El problema es la brecha entre lo que la gente cree haber comprado — una supresión definitiva, universal, limpia — y lo que el derecho entrega de verdad: una retirada condicional, geográficamente acotada, que solo actúa sobre los actores que la ley puede alcanzar. Y las verdaderas fuentes de su exposición casi nunca son las que la ley alcanza.

Voy a ser directo, porque nadie en este oficio se lo dice claramente: en la inmensa mayoría de los casos que trato, el derecho de supresión no suprime el dato. Desplaza un resultado de búsqueda. Es útil, a veces suficiente, pero no es lo que le prometieron. Y creer lo contrario le lleva a tomar malas decisiones — algunas de las cuales agravan activamente su situación. Este artículo describe lo que funciona, lo que no funciona, y qué hacer cuando la supresión está sencillamente fuera de alcance.

Lo que dice de verdad el artículo 17

El artículo 17 del RGPD se llama «derecho de supresión», y lo primero que hay que entender es que no es un derecho absoluto. Es un derecho condicional acompañado de excepciones lo bastante amplias como para, en muchos casos, tragarse la regla. Para obtener la supresión, hay que encontrarse en una de las seis situaciones previstas: el dato ya no es necesario respecto de la finalidad inicial, usted retira su consentimiento y ningún otro fundamento se sostiene, el tratamiento es ilícito, una obligación legal lo impone, los datos conciernen a un menor, o usted ejerce su derecho de oposición y ningún motivo legítimo imperioso prevalece.

Hasta aquí, parece un derecho sólido. Luego vienen las excepciones del apartado 3, y es ahí donde todo se juega. La supresión no se aplica cuando el tratamiento es necesario para el ejercicio de la libertad de expresión e información — dicho de otro modo, en cuanto un periodista, un medio o un editor invoca el interés público, su solicitud se convierte en una negociación, no en un derecho oponible. Tampoco se aplica para el cumplimiento de una obligación legal, por motivos de interés público, con fines de archivo, de investigación o de estadística, ni para la formulación y defensa de derechos en juicio. Estas excepciones no son casos marginales: cubren la prensa, los registros legales, los archivos públicos, y todo litigio en curso o potencial.

Segundo límite estructural, más discreto pero decisivo: el artículo 17 solo se dirige a un responsable de tratamiento identificado y sometido al RGPD. Todo el mecanismo reposa sobre la existencia de un interlocutor jurídicamente alcanzable — alguien que decide las finalidades y los medios de un tratamiento, y al que la ley europea puede obligar. Cuando ese interlocutor no existe, no es identificable, o se encuentra fuera del alcance del derecho europeo, el artículo 17 sencillamente no tiene objeto. No es que fracase: es que no se aplica. Este matiz lo cambia todo, porque una parte enorme de su exposición vive precisamente en esos ángulos muertos — en manos de actores sin establecimiento europeo, plataformas anónimas, o copias huérfanas sin propietario.

Tercer límite, geográfico: el alcance de la desindexación lo zanjó el TJUE en 2019 en el asunto Google contra CNIL. El motor no está obligado a desindexar en el conjunto de sus versiones mundiales — la obligación se limita a las versiones correspondientes a los Estados miembros. En concreto, una desindexación obtenida vale para Google.es y las demás declinaciones europeas, con un bloqueo geográfico parcial, pero no para Google.com consultado desde otro lugar. La autoridad de control había abogado por un alcance mundial; perdió. Retenga la consecuencia operativa: incluso un éxito completo en el plano del derecho sigue siendo un éxito regional en el plano técnico.

El resultado en la práctica es brutal. Sobre las solicitudes de desindexación recibidas por Google desde la sentencia TJUE Google Spain de 2014, el motor ha rechazado una parte sustancial — globalmente alrededor de la mitad de las URL, y bastante más en ciertas categorías sensibles como los contenidos vinculados a una actividad profesional, una condena penal de interés público, o un papel en la vida pública. La AEPD, cuando se la requiere en segundo recurso, confirma buena parte de esos rechazos. Comprenda bien lo que esto significa: el derecho al olvido no es un derecho a borrar lo que le molesta. Es un derecho a solicitar, a argumentar, y a aceptar que le digan que no más a menudo de lo que imagina. E incluso cuando le dicen que sí, el «sí» es más estrecho de lo que piensa.

Lo que sí funciona

Seamos concretos sobre el vaso medio lleno, porque existe y hay que saber usarlo antes de plantear los enfoques pesados. Tres palancas funcionan de verdad, en grados diversos.

La primera, y con diferencia la más rentable, es la desindexación de Google en el espacio europeo mediante el formulario oficial. Es la consecuencia directa de la sentencia Google Spain: un motor de búsqueda es responsable de tratamiento, y debe examinar su solicitud de retirada de un resultado asociado a su nombre. La tasa de éxito es razonable para los contenidos antiguos, sin interés público, que no conciernen a su vida profesional actual — un viejo litigio privado cerrado, una mención en un asunto donde nunca fue imputado, un dato que se ha vuelto obsoleto. El plazo va de unas semanas a tres meses. Coste: cero. Es gratis, es oficial, y debería ser siempre su primer gesto. Cuidado con la trampa mayor: la desindexación nunca suprime la página de origen. Retira el enlace de los resultados de búsqueda sobre su nombre, en las versiones europeas del motor. La página sigue existiendo, accesible directamente, y sigue indexada fuera de la UE.

La segunda palanca es la supresión directa ante un editor RGPD activo que quiere evitar la sanción. Un sitio europeo, un operador que tiene una cuenta a su nombre, una plataforma que gestiona un fichero de clientes: estos actores tienen un interés racional en tratar su solicitud limpiamente, porque un rechazo injustificado expone a una reclamación ante la autoridad de control y a una multa. Cuando el interlocutor está identificado, sometido al RGPD, y no tiene ninguna razón imperiosa para conservar el dato, la supresión real — no la desindexación, la supresión — es perfectamente alcanzable. Cite el artículo 17, sea preciso sobre el dato en cuestión, guarde constancia escrita.

La tercera palanca, más parcial, es el opt-out ante los brokers de datos europeos: Bisnode, la rama UE de Intelius, Schober y algunos otros. Es un trabajo ingrato, nunca completo y nunca definitivo, porque estos data brokersEmpresa que recopila, agrega y revende datos personales a gran escala. reinyectan continuamente desde fuentes públicas. Pero en el perímetro europeo, es una reducción notable de exposición. En cambio, en los brokers estadounidenses sin establecimiento en la UE, entra en la zona gris — vuelvo sobre ello.

Lo que no funciona

Esta es la parte que los vendedores de supresión callan. La mayoría de su exposición real vive en zonas donde el derecho al olvido no tiene ningún agarre.

Los brokers estadounidenses sin establecimiento europeo ignoran pura y simplemente la mayoría de las solicitudes RGPD. Sin establecimiento en la UE, sin segmentación activa del mercado europeo en el sentido del artículo 3: sin obligación práctica de responder. Estimo, sobre mis propios expedientes, que alrededor de cuatro de cada cinco solicitudes dirigidas a este tipo de actor quedan sin efecto real — respuesta automática vacía, opt-out que se vacía solo al cabo de unos meses, o silencio total. Puede escribir, pero no construya su estrategia sobre ello.

Los archivos espejo son el otro muro. La Wayback MachineArchivo web de Internet Archive, que captura páginas desde 1996. acepta al menos un procedimiento de exclusión, incompleto. Pero archive.todayServicio de archivado web bajo demanda, con instantánea permanente. no ofrece ningún mecanismo oficial de supresión, por diseño — es todo el interés del servicio para sus usuarios. Una página archivada allí está, en la práctica, fuera de su alcance. Lo mismo para las diversas cachés y las copias de copias.

El foro cerrado que ha migrado a un nuevo dominio es un caso que veo repetirse. El dato se publicó en una plataforma que ha cambiado de manos, de jurisdicción, a veces de existencia legal. Ya no hay un responsable de tratamiento claramente identificable a quien dirigir una solicitud, y el contenido sigue circulando bajo una nueva dirección. El derecho supone un interlocutor; cuando ya no lo hay, el derecho no muerde.

Los registros públicos legales forman una categoría aparte, donde el rechazo no es una disfunción sino la ley misma. Una mención en el BORMEPublicación oficial española de anuncios mercantiles (constituciones, modificaciones, concursos)., una ficha del Registro Mercantil, una publicación en el registro de comercio: estos datos se hacen públicos en ejecución de una obligación legal, y el artículo 17 prevé explícitamente que la supresión no se aplica cuando el tratamiento responde a tal obligación. Puede encontrar la mención humillante; sigue siendo no obstante legalmente intocable mientras su base jurídica se sostenga. Pedir su supresión es pedir a la Administración que viole la ley que la obliga a publicar.

Por último, y este es el punto más estructurante: las copias ya descargadas por terceros. Un dato que se ha fugado en un volcado, que ha sido aspirado por un agregador, que duerme en el disco de alguien, escapa por naturaleza a toda supresión. No puede borrar lo que no puede alcanzar. Las bases de fugas — véase el artículo sobre los brokers — ilustran este punto hasta el absurdo: pedir la supresión a una leak databaseServicio que indexa datos procedentes de brechas públicas o semipúblicas. de tipo HIBPServicio público gratuito de Troy Hunt que indexa los correos comprometidos en brechas públicas. es tan eficaz como pedir a la lluvia que vuelva a subir a la nube. Estos servicios indexan compromisiones por millones de registros; no tienen ni el mandato ni la capacidad técnica de retirar una línea bajo demanda, y la mayoría lo rechaza por principio en nombre de la función de alerta que cumplen. El dato salió una vez; salió para siempre.

El efecto Streisand

Hay una categoría de solicitudes que no solo no funcionan, sino que empeoran su situación. Es el efecto Streisand, llamado así por la cantante cuyo intento de hacer retirar una foto de su casa transformó una imagen vista seis veces en un fenómeno visto cientos de miles de veces. El mecanismo es mecánico: el acto de pedir la retirada crea un evento, el evento crea atención, y la atención reproduce lo que usted quería hacer desaparecer.

Sobre el terreno, toma formas precisas. Una solicitud RGPD dirigida a un periodista despierta su memoria institucional y, a veces, sus ganas de escribir un seguimiento sobre «las presiones para la supresión». Una solicitud de desindexación de Google desencadena con frecuencia una notificación al editor de la página de origen, que se entera así de que usted desea hacerla desaparecer — información que no tenía, y que puede explotar. Un requerimiento público transforma un contenido oscuro en tema de debate.

La disciplina aquí es contraintuitiva para gente acostumbrada a «hacer valer sus derechos». No todo derecho conviene ejercerlo. Una desindexación discreta en Google, que solo notifica al mínimo, presenta un riesgo de amplificación bajo. Un requerimiento tonante dirigido a un medio presenta uno enorme. Sopese el contenido en cuestión: su audiencia actual, el interés que tendría la otra parte en hablar de ello, y lo que pierde si vuelve a subir. A veces, la mejor acción es la ausencia de acción.

Alternativas pragmáticas

Cuando la supresión es imposible — y lo es, las más de las veces — quedan tres estrategias que funcionan, a condición de abandonar la idea de borrar.

La primera es la dilución. No puede retirar el contenido negativo, pero puede producir suficiente contenido neutro y controlado para empujarlo a la página dos, tres o más allá de los resultados sobre su nombre. Perfiles profesionales limpios y activos, presencia en directorios serios, publicaciones firmadas en plataformas de calidad, ficha coherente en los espacios que usted domina. El objetivo no es mentir, es saturar el espacio visible con verdad que usted controla. La práctica totalidad de la gente nunca pasa de la primera página de resultados. Hacer bajar el contenido molesto a la página tres es, en términos de exposición real, casi tan eficaz como suprimirlo — y es duradero, allí donde una supresión puede sortearse.

La segunda es la compartimentación proactiva, tratada en detalle en el artículo dedicado. El dato pasado salió; no lo volverá a meter. Pero puede decidir que sus identidades y actividades futuras no estén vinculadas a esa exposición. Direcciones de correo distintas, números dedicados, separación neta entre los contextos: es una disciplina de higiene que impide que el pasado contamine el presente. La compartimentaciónSeparar las identidades por uso (civil, profesional público, profesional sensible, operacional) para limitar la propagación de filtraciones. no repara, aísla.

La tercera, la menos glamurosa y la más madura, es aceptar y preparar la respuesta. Si un contenido desfavorable es no suprimible, parta del principio de que alguien acabará por toparse con él, y prepare un brief narrativo factual: contexto, lo que realmente pasó, lo que ha cambiado desde entonces. Un dato molesto al que usted tiene una respuesta calmada y preparada tiene mucho menos poder que un dato que intenta desesperadamente ocultar. La disimulación crea la impresión de la falta; la transparencia controlada la desactiva.

Una palabra sobre las herramientas, porque siempre me hacen la pregunta. Existen servicios de opt-out automatizado ante los brokers — Incogni, DeleteMe, Optery y algunos otros. Sea lúcido sobre lo que hacen: barren regularmente unas decenas a unos cientos de brokers y depositan en ellos solicitudes de retirada en su nombre. En el perímetro de los brokers cooperativos, reducen realmente la exposición incremental, y le ahorran un trabajo manual penoso. Pero no tocan ni las bases de fugas, ni los archivos, ni los registros legales, ni las copias de terceros — es decir, el grueso del problema. Son herramientas de mantenimiento, no de curación. Pagarlas creyendo zanjar la cuestión es repetir a escala de una suscripción la ilusión de partida: confundir «menos visible en manos de algunos actores» con «desaparecido». Úselas por lo que son, y conserve la dilución como su verdadera línea de defensa duradera.

Lo que implica en concreto

Para usted, como particular

El formulario de Google es su primera herramienta, gratuita y eficaz sobre los resultados .es. Para el resto, el realismo paga: la mayoría de sus datos pasados no desaparecerá, y la buena estrategia no es ni la supresión a toda costa ni la negación, sino la dilución y la compartimentación futura.

  1. Haga el inventario antes de actuar — teclee su nombre en Google, en Google.es y Google.com, y liste los tres resultados más problemáticos. No puede tratar lo que no ha cartografiado. Coste: cero, una hora de su tiempo.
  2. Presente las solicitudes de desindexación elegibles — para los contenidos antiguos, sin interés público, use el formulario oficial de desindexación de Google. Discretamente, sin ruido, sin amenaza. Es gratis y es su mejor proporción esfuerzo/resultado.
  3. Lance la dilución si lo negativo es no suprimible — cree o limpie dos o tres perfiles profesionales que usted controle, aliméntelos regularmente. Empujar un contenido a la página tres cuesta menos de 200 € y protege mejor que una carta RGPD ignorada.

Para usted, CISO / Dirección de TI / directivo

El derecho de supresión del RGPD es una obligación de medios, no de resultado. Su responsabilidad recae sobre el tratamiento que USTED efectúa, no sobre lo que se ha fugado en casa de sus proveedores o circula fuera de su perímetro. Confundir ambos en sus procesos de DPO produce o bien parálisis, o bien falsas promesas a los interesados.

1. Distinga supresión real y desindexación en sus procedimientos. Muchos equipos responden «está suprimido» cuando solo han enmascarado una visualización o solicitado una desindexación a un tercero. Consecuencia directa: una respuesta imprecisa a una solicitud de ejercicio de derechos es un incumplimiento en sí mismo, sancionable con independencia del dato en cuestión.

2. Cartografíe a sus encargados del tratamiento y su capacidad real de supresión. Una supresión en su casa que deja copias vivas en casa de un encargado no es una supresión. Consecuencia directa: sus contratos de encargo deben prever una obligación de supresión en cascada verificable, si no, usted soporta un riesgo que no domina.

3. Lleve un registro de las solicitudes y sus resultados, rechazos incluidos. Un rechazo motivado al amparo de las excepciones del artículo 17 es legítimo, pero debe estar documentado. Consecuencia directa: frente a una inspección de la autoridad de control, es la trazabilidad de su razonamiento — no el resultado — lo que demuestra su cumplimiento.

Errores que se ven constantemente

  • Pedir la supresión a una base de fugas como HIBPServicio público gratuito de Troy Hunt que indexa los correos comprometidos en brechas públicas. o un volcado: rechazo sistemático, es un archivo de compromisión, no un responsable de tratamiento cooperativo.
  • Enviar una carta RGPD no motivada, sin citar la condición del artículo 17 invocada: rechazo por incumplimiento de las condiciones, y tiempo perdido.
  • Confundir desindexación europea y supresión mundial: la página de origen sigue en línea e indexada fuera de la UE.
  • Lanzar un requerimiento público sin evaluar el efecto Streisand: riesgo real de amplificar exactamente lo que se quería enterrar.
  • Intentar purgar archive.todayServicio de archivado web bajo demanda, con instantánea permanente.: sin mecanismo oficial, esfuerzo a fondo perdido.
  • Creer que un registro legal — tipo BORMEPublicación oficial española de anuncios mercantiles (constituciones, modificaciones, concursos)., Registro Mercantil — es borrable: estos datos son de obligación legal, fuera del ámbito de la supresión.
  • Medir el éxito como «ya nada en Google» cuando el dato sigue circulando en acceso directo y en manos de los brokers.

Checklist accionable

  • N1 Identificar los 3 resultados más problemáticos sobre su nombre en búsqueda Google (.es y .com)
  • N1 Presentar una solicitud de desindexación de Google para los casos elegibles, sin ruido
  • N2 Para los contenidos en sitios RGPD activos: enviar una solicitud de supresión formal citando el artículo 17
  • N2 Evaluar la relación riesgo/amplificación (efecto Streisand) antes de cualquier gestión jurídica pública
  • N3 Lanzar una estrategia de dilución (contenido positivo controlado) si lo negativo es no suprimible

Para profundizar

El texto de referencia es el artículo 17 del RGPD(opens in a new tab) en sí, cuyo apartado 3 sobre las excepciones merece una lectura atenta — es ahí donde se juega lo esencial. La sentencia TJUE Google Spain(opens in a new tab) sienta el marco de la desindexación y explica por qué la retirada de un resultado no es la supresión de una página. Para el procedimiento práctico en el lado español, la FAQ de la AEPD sobre el derecho al olvido(opens in a new tab) describe los pasos a seguir y los recursos. Y para entender por qué la supresión fracasa estructuralmente sobre el dato ya difundido, lea los artículos vecinos sobre los datos ya públicos y sobre los brokers de datos.

Fuentes y lecturas complementarias

Artículos relacionados