Automatización inteligente
para PYMEs en España.

Navegación

Inicio
Planes
La Gaceta
Sectores
Contacto

Legal

Política de Privacidad
Política de Cookies
Términos y Condiciones
Aviso Legal

Contacto

info@sintra.dev
+34 XXX XXX XXX

Criterio y normativa (UE)

AEPD — guías y criterios

Criterios de orientación, guías técnicas y notas sobre RGPD, videovigilancia, cookies y sancionadores (consulta pública).

aepd.es, consultar ↗

EUR-Lex — textos oficiales UE

Directivas y reglamentos (NIS2, DORA, RGPD, Ley de ciberesiliencia) en el idioma y versión consolidada que elijas.

eur-lex.europa.eu, consultar ↗

ENISA

Informes y buenas prácticas de ciberseguridad a escala de la Unión; útil para contexto técnico y riesgo.

enisa.europa.eu, consultar ↗

AEPD en Centinela

Resoluciones, sancionadores, guías técnicas y criterio público: el blog prioriza comprobar cada afirmación con fuentes oficiales de la Agencia y de DPA Europea cuando aplica.

Índice de sancionadores (resoluciones reales)Más de 16.000 expedientes AEPD indexados en el motor Centinela: importes, infracciones, sectores; útil para contrastar riesgo y criterio.aepd.es ↗
Guías, notas técnicas y criterio interpretativoCookies, cookies de terceros, videovigilancia, ROPD, encargos, DPD: documentos públicos a los que vuelve el blog al citar «criterio AEPD».Guías (portal) ↗
Derecho de acceso y procedimiento sancionadorPlazos, subsanaciones y publicidad de sanciones: alinear praxis interna con el procedimiento de la Agencia evita agravar la calificación de la infracción.Procedimientos AEPD ↗
Buzón del delegado (ciudadanía) y cauces sectorialesReclamaciones, tutelas y criterio consolidado: referencia frecuente en artículos RGPD/LOPDGDD del blog y en respuestas Centinela con fuente.Reclamación ↗
Europa y AEPD (coherencia con EDPB / TJUE)Cuando el blog cita criterio europeo, el contraste con decisiones nacionales y guías AEPD es el paso de comprobación antes de fijar postura en empresa.edpb.europa.eu ↗

Cómo contrastar (práctico)

Antes de citar NIS2 o DORA, abre el acto en EUR-Lex y comprueba la fecha y el número de artículo en la versión consolidada.
Cruza directivas (marco) con el reglamento de ejecución y con la transposición en el Estado miembro que te afecte.
ENISA y EDPB orientan, pero el texto jurídico vinculante sigue en el D.O. de la UE y en la ley nacional.
Resolución de discrepancia: si una guía y el artículo de ley se contradicen, gana el texto legal actualizado; la guía sirve de criterio interpretativo, no de sustituto.
Para brechas o transferencias, contrasta criterio DPA (AEPD) con dictámenes EDPB y con sentencias recientes del TJUE si existen en tu materia.

Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/RGPD Aplicado/21 de junio de 20265 min

Un cliente te pide que borres sus datos: qué haces, qué no puedes borrar y cómo responder

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

Recibes un email: 'Solicito que elimine todos mis datos personales de sus sistemas'. Esta situación, cada vez más frecuente, tiene una respuesta correcta que no es simplemente borrar todo ni ignorar la solicitud.

Puntos clave

1El derecho de supresión ('derecho al olvido') existe pero tiene excepciones importantes
2Las facturas con datos del cliente NO se pueden borrar — hay obligación legal de conservarlas 4-6 años
3Debes responder en 1 mes y hacerlo por escrito, aunque sea por email
4Si solo puedes borrar parte de los datos, explica qué conservas y por qué — eso no es incumplimiento
5Guarda registro de la solicitud y tu respuesta: es parte del accountability del RGPD

Paso 1: identifica qué datos tienes de ese cliente

Antes de responder, haz un inventario rápido. Datos típicos de un cliente: nombre y NIF (en las facturas), email y teléfono (en el CRM o email), historial de compras, conversaciones guardadas. Separa mentalmente qué tienes en 'ficheros activos' (CRM, email, web) y qué tienes por obligación legal (facturas, documentos contables).

Paso 2: qué puedes y qué no puedes borrar

Puedes borrar: el email de tu lista de contactos, el número de teléfono de tu agenda, el historial de conversaciones que no tienes obligación de conservar, los datos del CRM que ya no son necesarios. NO puedes borrar (y no debes): las facturas emitidas a ese cliente (obligación fiscal: 4 años; obligación mercantil: 6 años), los documentos contractuales si hay plazo de prescripción activo, los registros requeridos por otras leyes (PBC, laboral…). La clave: 'borrar' en RGPD puede significar 'bloquear' — conservar solo para cumplir la obligación legal, sin uso activo.

Paso 3: cómo responder (con plantilla)

Responde dentro de 1 mes desde la solicitud (puedes ampliar a 3 meses si es complejo, avisando en el primer mes). La respuesta debe: confirmar que has recibido la solicitud, indicar qué datos has eliminado, explicar qué conservas y por qué (citar la obligación legal), dar un contacto para cualquier duda. No hace falta responder con un documento formal complejo: un email bien redactado es suficiente.

Estimado/a [Nombre], hemos recibido su solicitud de supresión de datos con fecha [fecha].
Hemos eliminado de nuestros sistemas: [lista de datos borrados].
Conservamos los siguientes datos únicamente por obligación legal: [facturas → art. 30 LGT, 4 años; contratos → art. 30 Código de Comercio, 6 años].
Una vez finalicen los plazos legales, estos datos serán suprimidos definitivamente.
Si tiene alguna duda, puede contactarnos en [email].

Paso 4: documenta todo

El RGPD exige que puedas demostrar que gestionas los derechos correctamente (accountability). Guarda: la solicitud original con su fecha, una copia de tu respuesta, qué datos borraste y cuándo, qué datos conservas y por qué. No hace falta un sistema complejo: una carpeta de email etiquetada 'RGPD — derechos' o una hoja de cálculo con las solicitudes recibidas es suficiente para una pyme o autónomo.

Próximos pasos recomendados

1Crea una dirección de email dedicada para solicitudes de derechos (ej: privacidad@tuempresa.es)
2Prepara una plantilla de respuesta adaptada a tu tipo de negocio
3Añade en tu política de privacidad cómo ejercer los derechos y el plazo de respuesta

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

RGPD art. 17 — Derecho de supresión — EUR-Lex, Texto oficial del derecho al olvido y sus excepciones
AEPD — Guía sobre el ejercicio de derechos, Orientaciones de la AEPD para responsables del tratamiento sobre cómo gestionar los derechos

También en RGPDAplicado

Envías newsletter a tus clientes: ¿necesitas consentimiento? La respuesta depende de cuándo se hicieron clientes

5 min

Cámaras de seguridad en tu local o empresa: qué permite el RGPD y qué está terminantemente prohibido

5 min

Te han hackeado o has perdido datos de clientes: las 72 horas para notificar a la AEPD y cómo gestionarlas

6 min

← Volver a La Gaceta

Más de 33 fuentes oficiales

Bases y sedes de referencia (UE y España) que el índice de Centinela prioriza al contrastar y citar.

AEPD · aepd.es
EUR-Lex · eur-lex.europa.eu
EDPB (Comité Europeo) · edpb.europa.eu
ENISA · enisa.europa.eu
CERT-EU · cert.europa.eu
Comisión Europea (Digital) · ec.europa.eu
ESMA · esma.europa.eu
EIOPA · eiopa.europa.eu
BCE — Supervisión bancaria · bankingsupervision.europa.eu
TJUE (Corte de Justicia UE) · curia.europa.eu
BOE · boe.es
INCIBE · incibe.es
OSI (observatorio, INCIBE) · osi.es
CCN-CERT · ccn.cni.es
Banco de España · bde.es
CNMV · cnmv.es
CNMC · cnmc.es
AEAT · agenciatributaria.gob.es
Ministerio de Hacienda · hacienda.gob.es
Ministerio de Asuntos Económicos · mineco.gob.es
Ministerio del Interior · interior.gob.es
Ministerio para la Transición Ecológica (OES) · miteco.gob.es
Ministerio de Sanidad (ENS ámbito) · sanidad.gob.es
Ministerio de Defensa (ciberdefensa pública) · defensa.gob.es
Poder Judicial (CGPJ) · poderjudicial.es
Ministerio de Justicia · mjusticia.gob.es
Sede — Administración general · administracion.gob.es
Ciberseguridad (gobierno) · ciberseguridad.gob.es
RedIRIS (CSIRT académico) · rediris.es
FNMT-RCM (confianza electrónica) · fnmt.gob.es
Cl@ve (identificación admin.) · clave.gob.es
DGT (transporte y normativa pública vinculada) · dgt.es
Europol — EC3 · europol.europa.eu

España y recursos técnicos

BOE y normativa nacional

Real decreto ENS (311/2022), LOPDGDD, transposición NIS2 y decretos sectoriales: siempre en la edición publicada en el diario oficial.

boe.es, consultar ↗

INCIBE

Recursos y campañas para pymes, informes y alertas; complementa con CCN en administraciones y OES concretas.

incibe.es, consultar ↗

Banco de España (resiliencia / DORA)

Materiales y normativa pública vinculada a la resiliencia operativa en el sector financiero (entorno DORA) en el ámbito competencial español.

bde.es, consultar ↗

CCN-CERT

Guías STIC, informes técnicos y dispositivos de seguridad homologados, referencia frecuente en ENS y administraciones TIC.

ccn.cni.es, consultar ↗

EDPB — dictámenes y recursos

Opiniones y líneas de orientación de protección de datos a nivel europeo, enlazables con criterios AEPD y TJUE.

edpb.europa.eu, consultar ↗

Cómo contrastar (práctico)

En BOE, usa la búsqueda avanzada por número de ley o por «sumario»; evita mezclar el anteproyecto con la ley publicada y en vigor.
Reales decretos (ENS, desarrollo) deben leerse junto a la ley orgánica o sectorial que modifiquen: revisa notas a pie en la edición consolidada del BOE.
CCN/INCIBE: trata su biblioteca como anexo técnico; si tu obligación nace de ley, ancla el requisito al artículo del BOE y usa la guía como apoyo al cumplimiento.
AEPD: el «criterio» o informe vinculante para la Agencia añade riesgo si lo ignoras; aun así, contrasta con el artículo de la LOPDGDD o RGPD que cita el propio criterio.
Banco de España: normativa y consultas de resiliencia operativa cambian; guarda enlace a la sección y fecha de publicación, no copias en PDF de terceros.