La aplicación del EDPB para 2025 se centra en el Artículo 17 del GDPR, auditando el cumplimiento de las obligaciones de supresión, incluidas las cookies. El aumento de solicitudes de eliminación, los altos costes y los riesgos de incumplimiento exigen flujos de trabajo automatizados, seguimiento del consentimiento, preparación legal y operaciones de privacidad sólidas para evitar sanciones y generar confianza.
La Junta Europea de Protección de Datos (EDPB) lanzó, a principios de 2025, su acción en el marco del Coordinated Enforcement Framework (CEF), con un enfoque en la implementación del derecho de supresión o derecho al olvido (Art.17 GDPR). Este cambio en las prioridades de aplicación de las Autoridades Europeas de Protección de Datos (DPAs) refleja una aplicación más rigurosa del Artículo 17 del GDPR, que otorga a las personas el derecho a que se eliminen sus datos personales en determinadas situaciones.
Durante 2025, 30–32 Autoridades Europeas de Protección de Datos (DPAs) auditarán a los responsables del tratamiento mediante investigaciones de recopilación de hechos e investigaciones formales para comprobar si las solicitudes de supresión se gestionan correctamente. Es decir, ¿se tramitan las solicitudes de eliminación dentro del marco legal, de forma oportuna y cumpliendo con las excepciones previstas por el GDPR?
Esta ofensiva se debe a que las solicitudes de supresión son uno de los derechos más frecuentemente invocados en virtud del GDPR y uno que genera un número significativo de reclamaciones por parte de los interesados. Se espera que los responsables del tratamiento eliminen los datos personales “sin dilación indebida” (normalmente en un plazo de un mes) y deben localizar e informar a terceros que posean dichos datos.
Un informe de 2025 que rastrea las tendencias en privacidad destacó un crecimiento interanual del 82% en las solicitudes de eliminación de datos. Para las empresas con niveles de tráfico medios o altos, esto resulta costoso, con un gasto estimado de 1,26 millones de USD anuales por cada cinco millones de visitantes únicos. Según la investigación de Gartner, el coste de una única solicitud de un interesado es de 1.524 USD, un coste que puede aumentar rápidamente.
Como parte del impulso de los consumidores para tomar el control de su privacidad de datos, el número de solicitudes de “no vender” también está aumentando considerablemente. Aunque los organismos reguladores someten a las organizaciones a un escrutinio cada vez mayor, cabría esperar que las empresas se comportaran de la mejor manera posible a la hora de respetar las solicitudes de exclusión, pero el mismo informe de tendencias en privacidad afirma que más del 69% de las empresas violan el consentimiento del consumidor, instalando cookies de seguimiento independientemente de las preferencias de consentimiento.
Este hallazgo coincide con tendencias observadas en otros lugares; por ejemplo, en una investigación de la Oficina de Comunicaciones Electrónicas de Islandia, todos los proveedores de servicios web revisados colocaron cookies en los dispositivos de los usuarios a pesar del rechazo explícito de estos. Y la DPA neerlandesa reforzó recientemente sus mecanismos de aplicación, emitiendo advertencias a varias organizaciones que colocaban banners de cookies engañosos o instalaban cookies de seguimiento sin un consentimiento válido.
La supresión no se limita a los datos personales en tu CRM: también se aplica a las cookies y a los rastreadores, vinculados directamente a los mecanismos de consentimiento.
En virtud del GDPR y de las normas de ePrivacy, el consentimiento para las cookies debe darse libremente, ser específico y revocable. La legislación de la UE establece que el consentimiento puede retirarse en cualquier momento y, si se hace, todas las cookies pertinentes deben eliminarse.
Sin embargo, auditorías en el mundo real revelan un inquietante incumplimiento: una investigación de 2024 de 20.000 dominios encontró que:
19,9% dificultaban más la revocación que la concesión del consentimiento
57,5% no eliminaban las cookies después de la retirada del consentimiento
Algunos retenían la revocación frente a terceros, lo que permitía un seguimiento continuo
Además, alrededor del 50% de los sitios web instalan “cookies intratables” que permanecen incluso después del rechazo, a menudo durante más de 10 días.
El incumplimiento en la gestión de cookies y del consentimiento puede considerarse una forma de incumplimiento del derecho de supresión, exponiendo así a la organización infractora a una mayor aplicación de la ley y sanciones.
Además de generar costes imprevisibles, las cargas comerciales y técnicas se convierten en una preocupación a medida que más personas comienzan a ejercer sus derechos de privacidad. En particular, con respecto a las cookies, cada interacción con un banner desencadena registros, auditorías de cookies e integración con sistemas de gestión de consentimiento, lo que aumenta la complejidad y el coste, y esto debe formar parte de la consideración global para cumplir con el derecho de supresión.
Muchas de estas cargas se agravan porque las organizaciones no tienen una idea clara de dónde residen realmente todos los datos de los consumidores ni de cómo (o si) han obtenido un consentimiento válido para las cookies que han colocado y los datos recopilados posteriormente.
Para poder gestionar la avalancha de solicitudes de supresión que se avecina, se requiere un nuevo enfoque de la privacidad de datos y la gestión del consentimiento. Para prepararse para esta nueva era de aplicación más estricta, es hora de hacer balance e invertir en algunas acciones clave:
Mapear los flujos de datos en sistemas internos y de terceros, resaltando ubicaciones de almacenamiento, límites de retención y transferencias a terceros.
Crear flujos de trabajo automatizados para verificar la identidad, rastrear solicitudes, localizar datos, iniciar la supresión y emitir confirmaciones.
Mantener registros de auditoría con pruebas de supresión y comunicaciones.
Comprender los marcos legales y las excepciones
Saber cuándo la supresión puede denegarse legalmente.
Saber cómo explicar estas excepciones.
Prepararse para las investigaciones regulatorias
Con las auditorías del CEF en marcha, esperar que las DPAs soliciten información en misiones de recopilación de hechos. Preparar la cadena de evidencias, incluidas políticas, registros y comunicaciones.
Reforzar las capacidades de supresión para evitar sanciones administrativas y daños a la reputación.
Asegurarse de que su CMP admita la revocación en tiempo real, la eliminación automática de cookies y la comunicación con terceros. Realizar auditorías para detectar cookies intratables.
Gestionar la supresión como parte de una estrategia más amplia de privacidad de datos
Coordinar procesos entre equipos legales, de cumplimiento y de TI.
Incluir las cookies y el consentimiento en la estrategia global de privacidad de datos.
La era de la gestión pasiva de datos ha terminado. En el marco de la EDPB’s 2025CEF enforcement drive, las empresas deben elevar sus operaciones de privacidad, especialmente en las áreas de supresión y gestión de cookies impulsada por el consentimiento. La apuesta es alta: costes de procesamiento manual de varios cientos de miles, inversión en infraestructura automatizada, posibles multas y daños a la reputación.
Para mantenerse en conformidad y ser competitivos:
Automate tanto como sea posible del flujo de trabajo de supresión y revocación.
Track y audit consentimientos y supresiones en tiempo real.
Document las justificaciones legales de cualquier denegación o retraso.
Prioritize la preparación para las DPAs: las revisiones internas deben reflejar la profundidad de una probable investigación.
Adopt a comprehensive consent management platform.
Al tomar estas medidas hoy, las organizaciones pueden transformar la supresión de un dolor de cabeza de cumplimiento en una trust-building opportunity.
©2025 CookieHub ehf.
