El derecho a ser olvidado se deriva del caso Google Spain SL, Google Inc contra Agencia Española de Protección de Datos, Mario Costeja González (2014). Por primera vez, el derecho a ser olvidado está codificado y se encuentra en el Reglamento General de Protección de Datos (GDPR), además del derecho de cancelación.
La regla de nombre correspondiente regula principalmente las obligaciones de cancelación. De acuerdo con esto, los datos personales deben borrarse inmediatamente cuando los datos ya no son necesarios para su procesamiento original, o si el sujeto de los datos ha retirado su consentimiento y no hay otro motivo legal para el procesamiento, el sujeto de los datos ha objetado y no hay se exigen motivos legítimos para el procesamiento o la eliminación para cumplir una obligación legal en virtud de la legislación de la UE o el derecho de los Estados miembros. Además, los datos deben borrarse naturalmente si el procesamiento en sí era ilegal en primer lugar.
Por lo tanto, el controlador está, por un lado, sujeto automáticamente a obligaciones legales de borrado, y debe, por otro lado, cumplir con el derecho del interesado a ser borrado. La ley no describe cómo se deben borrar los datos en casos individuales. El elemento decisivo es que, como resultado, ya no es posible discernir datos personales sin un esfuerzo desproporcionado. Es suficiente si los medios de datos se han destruido físicamente, o si los datos se sobrescriben permanentemente con un software especial.
Además, el derecho al olvido se encuentra en el art. 17 (2) de la GDPR. Si el controlador ha hecho públicos los datos personales, y si existe una de las razones anteriores para el borrado, debe tomar medidas razonables, considerando las circunstancias, para informar a todos los demás controladores en el procesamiento de datos que todos los enlaces a estos datos personales, así como Copias o réplicas de los datos personales, deben ser borrados.
Una solicitud de borrado no está sujeta a ninguna forma en particular, y el controlador puede no requerir ninguna forma específica. Sin embargo, la identidad del sujeto de los datos debe ser probada de una manera adecuada. Si la identidad no se ha probado, el controlador puede solicitar información adicional o negarse a borrar los datos. Si hay una solicitud o una obligación legal de borrar, esto debe ejecutarse rápidamente. Esto significa que el controlador tiene que verificar las condiciones de borrado sin demora indebida. En el caso de una solicitud de eliminación, el interesado debe ser informado dentro de un mes sobre las medidas tomadas o las razones de la negativa. El derecho a ser olvidado se refleja por segunda vez en la obligación de notificación. Además de borrar, según el art.
El derecho a ser olvidado no está garantizado sin reservas. Está limitado especialmente cuando chocan con el derecho de libertad de expresión e información. Otras excepciones son si el procesamiento de datos que está sujeto a una solicitud de borrado es necesario para cumplir con las obligaciones legales, con fines de archivo en el interés público, con fines de investigación científica o histórica o con fines estadísticos o para la defensa de reclamos legales.
Más info aquí: https://sites.google.com/view/derechoalolvidointernet/