Suprimir datos personales: la prueba más compleja de tu programa de protección de datos

/en , /por

En nuestra práctica, pocas solicitudes revelan con tanta precisión el estado real de un programa de protección de datos como la de supresión. Cuando un titular pide que borren sus datos, se activa una cadena que toca prácticamente todo: los inventarios de tratamiento, las políticas de retención, la arquitectura de sistemas, los respaldos, los contratos con encargados, las bases legales de cada finalidad. En cada proyecto de implementación que ejecutamos, el derecho de supresión es donde las brechas entre el diseño documental y la operación real se manifiestan con mayor crudeza. No es casualidad: es una actividad de tratamiento en sí misma, que exige a una organización demostrar que sabe dónde está cada dato, por qué lo tiene, y cómo eliminarlo de todos los sistemas cuando corresponda, incluidos los respaldos, y saber cómo registrar el proceso correctamente.

El 18 de febrero pasado, el EDPB adoptó el reporte de su cuarta Acción Coordinada de Enforcement, dedicada al derecho de supresión del artículo 17 GDPR: el derecho de cualquier persona a pedir que una organización elimine sus datos personales. 764 organizaciones europeas fueron interrogadas sobre cómo eliminan datos personales. La mayoría reprobó. El anexo con los 25 reportes nacionales revela los detalles que importan.

El veredicto general: cumplimiento «promedio». Conviene decodificar: cuando un regulador europeo dice «promedio», no está otorgando un aprobado cómodo. Es un eufemismo cortés para señalar que la mayoría de las organizaciones exhibe brechas serias entre lo que la ley exige y lo que efectivamente ocurre cuando alguien pide que borren sus datos.

Pero el valor real de este ejercicio no está solo en el reporte consolidado. Está en el Anexo: 25 reportes nacionales donde cada autoridad detalla, con nombre de sectores, tamaños de organización y prácticas específicas, lo que encontró en su jurisdicción. Es ahí donde emerge la verdadera granularidad del problema.

Identificaron siete problemas recurrentes. Ninguno es exclusivamente europeo. Son fallas estructurales de cualquier organización que procese datos personales, en cualquier jurisdicción.

1. El vacío procedimental

Diecisiete autoridades señalaron lo mismo: los responsables carecen de procedimientos internos documentados para gestionar solicitudes de supresión. O los tienen incompletos. O nunca los revisan. La misma deficiencia ya se había detectado en 2024 con el derecho de acceso. Que reaparezca con otro derecho no indica un problema coyuntural: revela una falla de arquitectura.

El derecho de supresión es particularmente difícil de operacionalizar porque no es absoluto: exige un doble análisis: verificar si concurre alguna de las seis causales habilitantes y, simultáneamente, si alguna de las cinco excepciones permite denegar. Sin un procedimiento que sistematice eso, cada solicitud se resuelve según el criterio de quien la reciba. Eso no es compliance. Es lotería.

La autoridad luxemburguesa (CNPD) describe una buena práctica reveladora: un responsable que designa personal de TI específicamente para monitorear la efectividad de los procedimientos técnicos de eliminación, incluyendo la revisión de todas las retenciones de eliminación (deletion holds) activas. Es decir: alguien cuyo trabajo es verificar que lo que debería haberse borrado efectivamente se borró.

En el extremo opuesto, la confusión documentada entre eliminar una cuenta de usuario y ejercer el derecho de supresión. Organizaciones que ofrecían «eliminar la cuenta» o «desinstalar la app» mientras retenían todos los datos en sistemas internos. El EDPB fue tajante: esa confusión «socava la efectividad del derecho.»

2. La primera línea desarmada

El personal que recibe solicitudes carece de formación específica. La capacitación, cuando existe, se limita a sesiones genéricas anuales. Las consecuencias son en cadena: solicitudes que no se reconocen como tales, plazos incumplidos, supresiones incompletas que dejan datos huérfanos, y titulares frustrados que reclaman ante la autoridad.

Algunas organizaciones hacen algo distinto: después de cada sesión, evalúan a los participantes. Mejor aún: realizan simulacros con solicitudes ficticias para verificar que el procedimiento funciona en la práctica. La formación no es un requisito burocrático que se satisface con una firma de asistencia. Es una herramienta operativa que se mide por resultados.

3. El titular a oscuras

Trece autoridades detectaron que los titulares no reciben información suficiente: ni sobre la existencia del derecho, ni sobre las condiciones para ejercerlo, ni sobre los canales, los plazos o las razones de un rechazo. La opacidad no solo viola la norma. Deslegitima el derecho.

Un detalle que el EDPB subraya: como el derecho de supresión no es absoluto, su ejercicio exitoso depende de que el titular conozca la base legal del tratamiento. Sin esa información, no puede evaluar si su solicitud tiene posibilidades de prosperar. La asimetría informativa se convierte en barrera de acceso al derecho.

Las organizaciones que sí lo hacen bien ofrecen múltiples canales, acusan recibo con tiempo estimado, y (un detalle inteligente que destaca el reporte del EDPS) permiten al titular solicitar primero un acceso a sus datos para que decida, con información, qué quiere eliminar. El EDPS lo describe como un enfoque que «previene la pérdida irreversible de datos y respeta plenamente ambos derechos.»

4. Las excepciones como trinchera

Más de una docena de autoridades documentaron organizaciones que utilizan las excepciones del artículo 17(3) no como válvulas de seguridad, sino como mecanismos de rechazo sistemático sin evaluación caso por caso.

Medios en línea que rechazan invocando libertad de expresión sin test de ponderación. Entidades financieras que citan obligaciones de retención sin identificar cuál aplica al caso concreto. Organizaciones que invocan interés legítimo sin análisis de proporcionalidad. La autoridad española (AEPD) documenta incluso que titulares confunden el derecho de oposición con el de supresión, lo que genera solicitudes mal encuadradas que los responsables rechazan por la vía rápida.

Un aspecto sutil pero fundamental: incluso cuando la denegación es legítima, los responsables no implementan medidas de salvaguarda (restricción del tratamiento, segregación de datos, limitación de accesos) para los datos que retienen. Denegar no es carta blanca para seguir procesando como si nada.

5. El agujero negro de la retención

La autoridad de Luxemburgo identificó que en las organizaciones pequeñas no existe un procedimiento estructurado para evaluar si los datos sujetos a una solicitud siguen siendo necesarios. El análisis queda en manos de empleados individuales, sin criterios uniformes ni punto de partida.

El reporte documenta responsables que aplican el plazo más largo de una actividad de tratamiento a todas las demás, o que implementan períodos por defecto para categorías enteras sin evaluar pertinencia. Una institución financiera española lo formuló con una honestidad poco habitual: su mayor desafío es gestionar procesos de eliminación segura que no afecten las operaciones bancarias, y determinar plazos de retención que garanticen su capacidad de defensa ante reclamos o requerimientos de autoridades.

La buena práctica que el EDPB destaca: la «matriz de eliminación de datos» que cruza tipo de dato, base legal y plazo de retención. Conceptualmente simple. Operativamente transformadora.

6. Borrado lógico versus borrado físico

Aquí es donde la distancia entre la norma y la realidad técnica se vuelve abismal. Y es aquí donde el Anexo del reporte aporta la granularidad que el documento consolidado solo esboza.

El GDPR exige supresión «sin dilación indebida.» Pero cuando los datos de una persona residen simultáneamente en el sistema productivo, en respaldos incrementales, en respaldos completos, en copias en la nube y en archivos históricos, ¿qué significa eso exactamente? El propio EDPB reconoce que necesita emitir orientación adicional. Lo que las autoridades nacionales encontraron mientras tanto es un ecosistema de prácticas profundamente fragmentado: un espectro que va desde el borrado lógico (marcar un registro como inactivo, hacerlo inaccesible, esperar a que el ciclo de respaldos lo expulse; básicamente, seudonimización disfrazada de supresión, salvo en algunos países como Alemania que tienen excepciones particulares) hasta el borrado físico: destruir irreversiblemente la información de modo que no pueda ser recuperada bajo ninguna circunstancia.

La República Checa: el diagnóstico más nítido. Los responsables checos recurren principalmente a dos métodos: borrado permanente por sobreescritura y anonimización mediante funciones de hashing. Para medios físicos, la supresión se ejecuta mediante destrucción o triturado del soporte. Pero solo una quinta parte de los responsables declaró seguir un estándar técnico formal; el resto opera según directrices internas que nadie ha validado externamente. Es la diferencia entre un proceso auditable y un acto de fe.

Alemania: cuatro capas de dificultad técnica. Primera: algunos responsables simplemente no eliminan datos de sus respaldos, y peor aún, no han implementado mecanismos para impedir que datos previamente eliminados se restauren con un back-up. Segunda: ciertos sistemas carecen de herramientas para borrar datos de un titular sin afectar el conjunto, obligando a eliminaciones manuales impracticables según el volumen. Tercera, y merece detenimiento: la destrucción física de archivos en papel o soportes de almacenamiento es naturalmente más fácil que la supresión de registros digitales. Romper un disco duro es simple. Demostrar que un registro digital fue eliminado de forma irrecuperable es otra cosa enteramente distinta. Y la cuarta capa: sin estándares fijos que definan qué constituye «estado del arte» en anonimización, la reidentificación sigue siendo una posibilidad real.

Hungría: especificidad técnica excepcional. En una resolución de 2019, la autoridad húngara estableció que no basta con «simplemente formatear» un disco duro, y mencionó específicamente el software DBAN (Darik’s Boot and Nuke) como herramienta apropiada para el wiping. Además, exige que la destrucción de medios sea realizada por operadores certificados y que el responsable reciba un reporte oficial de destrucción que permita demostrar, ante autoridades y titulares, que los datos fueron efectivamente eliminados. La carga de la prueba recae en el responsable. Esto es borrado físico en su expresión más exigente: no basta con que los datos desaparezcan; hay que poder probarlo.

Países Bajos: el tamaño no garantiza madurez. De cinco responsables investigados en profundidad, solo dos habían implementado prácticas de eliminación certificadas: uno con ISO 27001 y proveedores especializados, otro con el sello GoodPriv@cy bajo un marco auditado externamente. Los tres restantes (una organización pública pequeña, una privada mediana y otra privada grande) utilizaban procedimientos internos sin verificación de terceros. Que una empresa grande recurra a procedimientos no verificados dice todo sobre el estado real de las cosas.

Frente a esta fragmentación, el Anexo también documenta soluciones que muestran lo que es posible cuando hay voluntad técnica y jurídica. Un responsable luxemburgués gestiona la eliminación mediante un software de administración de usuarios que interactúa simultáneamente con el sitio web, la herramienta de servicio al cliente y las bases de datos: una arquitectura integrada donde la supresión no depende de intervención manual. Otro reemplaza los datos por cadenas de caracteres aleatorios, preservando la estructura sin conservar ningún dato identificable. Una solución elegante en la frontera entre el borrado lógico y el físico: el registro sigue existiendo como contenedor vacío, pero la información personal fue reemplazada irreversiblemente.

La autoridad neerlandesa documenta otra práctica inteligente: un responsable que, al ejecutar una solicitud, elimina los datos del entorno de producción y simultáneamente registra una notificación de que si un respaldo necesita restaurarse en el futuro, esos datos específicos deben eliminarse nuevamente. Solución pragmática: reconoce que la eliminación granular inmediata de respaldos puede ser técnicamente imposible, pero crea un mecanismo de control compensatorio.

Y la autoridad portuguesa resume lo que debería ser el estándar aspiracional en tres palabras: hard delete with proof. Borrado definitivo con prueba. La antítesis del borrado lógico silencioso que tantas organizaciones practican. La autoridad sueca complementa recomendando la serie ISO 27000 como marco para identificar, suprimir y destruir información verificando que la eliminación se ejecutó de forma permanente.

7. La anonimización que no lo es

El último hallazgo es el más técnicamente peligroso. Lo que muchas organizaciones llaman «anonimización» es pseudonimización básica o enmascaramiento parcial. La diferencia no es semántica: los datos pseudonimizados siguen siendo datos personales, siguen sujetos a la norma, y su existencia contradice directamente la solicitud de supresión.

La autoridad checa reporta que más de un tercio de los responsables combina borrado permanente y anonimización según el tipo de sistema, y que los propios responsables reconocen que la anonimización es «técnicamente una solución más simple» y en algunos casos «la única opción disponible» para mantener la continuidad de los datos. La autoridad neerlandesa encontró que mientras algunos responsables aplican métodos robustos que impiden la reidentificación, otros utilizan técnicas de enmascaramiento débiles que dejan riesgos latentes.

Las autoridades alemanas subrayan que esto es particularmente relevante en los sectores de salud y educación, donde la ley exige anonimización para fines estadísticos e investigación. La solución: orientación práctica. El EDPB trabaja en directrices sobre anonimización a la luz de la sentencia SRB del Tribunal de Justicia de la UE de septiembre de 2025.

Cuando la teoría se convierte en multa

El reporte y su Anexo no son solo diagnóstico. Documentan consecuencias.

La autoridad finlandesa (FI SA) impuso una multa de 75.000 euros (posteriormente reducida a 70.000 por el Tribunal Administrativo de Helsinki) a una empresa de estacionamiento privado que se negó sistemáticamente a cumplir solicitudes de supresión. La empresa retenía fotografías de vehículos y copias de multas invocando la legislación contable y el derecho de acceso a la justicia, mientras había iniciado miles de procedimientos judiciales contra conductores. La autoridad ordenó la supresión de los datos, salvo los asientos contables, los cuales debían eliminarse seis años después del cierre del ejercicio fiscal.

La autoridad sueca (SE SA) fue más contundente: en 2020 impuso una multa de 75 millones de coronas suecas a Google por el manejo inadecuado del derecho de desindexación de resultados de búsqueda. El Tribunal de Apelaciones la redujo a 50 millones. La autoridad sueca reporta que una gran parte de sus quejas se refieren al artículo 17, particularmente en relación con servicios de búsqueda.

Nueve autoridades lanzaron o continuaron investigaciones formales como parte de esta acción coordinada. Varias más planean acciones de seguimiento. Esto no fue un ejercicio académico. Fue el preludio de una oleada de enforcement.

Quién ejerce el derecho (y quién no)

Los clientes y potenciales clientes son mucho más propensos a pedir la supresión que empleados, postulantes, ciudadanos ante servicios públicos o contratistas. Donde la asimetría de poder es mayor (el empleado frente al empleador, el ciudadano frente a la administración) es donde menos se ejerce el derecho. Esto no es un problema jurídico. Es un problema de poder.

Un contrapunto significativo: siete autoridades notaron que padres y tutores de sujetos vulnerables estaban sobrerrepresentados entre quienes ejercen el derecho. Quienes más necesitan protección son quienes más activamente la buscan.

Por qué esto importa fuera de Europa

Cada uno de estos siete problemas es replicable en América Latina. Muchas legislaciones de la región contemplan derechos equivalentes. Las organizaciones enfrentan desafíos idénticos, frecuentemente agravados por menor madurez institucional y una cultura que sigue percibiendo la protección de datos como costo regulatorio antes que como dimensión de derechos fundamentales.

La documentación no es burocracia; es infraestructura. La supresión es una actividad técnica y jurídica simultáneamente, y una organización que solo lo aborda desde una dimensión lo está haciendo mal. Los plazos de retención son el cimiento invisible del sistema, y todo depende del sector y normas sectoriales sobre las cuales se trabaja. Y la distinción entre borrado lógico y físico (entre marcar un registro como inactivo y destruir irreversiblemente la información) no es un tecnicismo de TI. Es la diferencia entre cumplir y simular que se cumple.

No necesitamos esperar a que nuestras autoridades repliquen un ejercicio similar. El diagnóstico está hecho. Las buenas prácticas están documentadas: cronograma de eliminación, KPIs de gestión, capacitación con simulacros, herramientas automatizadas, certificaciones de destrucción, reportes oficiales de eliminación. Todo es implementable. Todo es medible. Todo es demostrable.

Un último dato: el EDPB anunció que la próxima acción coordinada en 2026 se centrará en las obligaciones de transparencia e información (artículos 12, 13 y 14 GDPR). El regulador europeo está construyendo un arco coherente: primero acceso (2024), luego supresión (2025), después transparencia (2026). Cada pieza revela y profundiza las fallas de la anterior. Las organizaciones que no corrijan ahora se encontrarán, un año después, con que sus deficiencias de transparencia también están bajo la lupa.

La pregunta para las organizaciones de este lado del Atlántico no es si les iría mejor a las empresas analizadas sino si están dispuestas a averiguarlo antes de que alguien se lo pregunte por ellas.

Catherine Muñoz Gutiérrez es CEO y Fundadora de Idónea Consultores SpA, la primera consultoría legal interdisciplinaria de Chile especializada en protección de datos, ciberseguridad y gobernanza de IA. LL.M. Universidad de Heidelberg. Profesora en UAI, Universidad Central y UTFSM. Miembro del comité de expertos del Índice Latinoamericano de IA, fundadora y directora de OPTIA, directora de ACEC, directora de la Asociación Gremial de Profesionales de Protección de Datos Personales, miembro IAPP.