Cumplimiento avanzado de DSR

El derecho de supresión cuando los datos personales residen dentro de modelos de IA entrenados

Actualizado 2026-06-23
Puntos clave: Priverion es una plataforma de GRC alojada en Suiza que automatiza los flujos de trabajo del derecho de supresión del artículo 17 del RGPD para modelos de IA entrenados en grupos empresariales.

Un único flujo de trabajo auditable para rastrear, documentar y responder de forma defendible a cada solicitud de supresión relacionada con la IA, en todas las filiales y jurisdicciones.

Reservar una demo Descargar la checklist gratuita

"Priverion nos dio un único panel para las solicitudes de supresión en 12 filiales. Pasamos de perseguir correos durante semanas a tener documentación lista para auditoría en cuestión de días."

DPD del grupo en una aseguradora suiza

Diseñado para los DPD atrapados entre los asesores jurídicos que exigen el cumplimiento del artículo 17 y los ingenieros de ML que explican por qué la supresión total de una red neuronal no es sencilla. Sus interesados tienen derecho al olvido, pero ¿qué ocurre cuando sus datos están integrados en los pesos de los modelos, en los pipelines de entrenamiento y en bases de datos vectoriales repartidos por 15 filiales en 9 jurisdicciones? Priverion lo gestiona.

47 días

Tiempo medio de resolución de las solicitudes de supresión de datos de entrenamiento de IA frente a los 5 días de las eliminaciones estándar

IAPP / Cisco Privacy Benchmark, 2024

30+

Sistemas que una única solicitud de supresión relacionada con la IA puede afectar en desarrollo, staging y producción

Datos de clientes de Priverion, despliegues multientidad

100%

Cobertura del registro de auditoría para las decisiones de DSR: documentación lista para el regulador cuando la necesite

Despliegue en una aseguradora suiza, datos de la plataforma Priverion

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Visión general de la solución

Cómo Priverion hace que el derecho de supresión sea defendible, incluso para modelos de IA entrenados

Cada capacidad a continuación responde directamente a un punto de dolor operativo al que se enfrenta hoy su equipo de privacidad. Sin marcos teóricos, solo flujos de trabajo que aguantan cuando llama el regulador.

Motor de flujos de trabajo de DSR consciente de la IA

Marque las solicitudes de supresión que afectan a datos de entrenamiento de IA como una categoría diferenciada con su propia vía de escalado. En lugar de tratar los datos integrados en el modelo como una simple fila de base de datos, Priverion los enruta a través de una evaluación específica: ¿Se utilizaron los datos para el entrenamiento? ¿Qué modelos? ¿Es viable el reentrenamiento? ¿Qué medidas compensatorias existen?

Cada solicitud recibe asignaciones de partes interesadas específicas (equipo de privacidad, ingeniería de ML, jurídico) con un seguimiento ampliado de los SLA que refleja la complejidad real de la supresión en la IA.

47 → 11 días

Tiempo medio de resolución de las solicitudes de supresión relacionadas con la IA reportado por los clientes de Priverion que utilizan flujos de trabajo de DSR estructurados, frente a la media del sector de 47 días para las solicitudes sobre datos de entrenamiento de IA (IAPP Privacy Governance Report, 2024)

Evaluación de viabilidad estructurada y registro de decisiones

Para cada solicitud de supresión relacionada con la IA, Priverion genera una plantilla de evaluación de viabilidad estructurada y alineada con las directrices del EDPB. Su equipo documenta el análisis técnico, el análisis jurídico y las medidas compensatorias aplicadas, todo en un mismo lugar.

Cada decisión queda marcada con su fecha y hora, atribuida y almacenada como parte de un registro de auditoría inmutable. Cuando el regulador le pida "muéstreme su proceso", exporta un PDF, no una cadena de correos reenviados desde el canal de Slack de su equipo de ML.

Minutos, no semanas

Paquetes de evidencia listos para auditoría generados cuando los necesite, basados en la capacidad documentada en la base de clientes de Priverion, incluida una empresa de tecnología médica (más de 200 horas ahorradas en la preparación de la ISO 27001)

Seguimiento de la propagación de la supresión entre entidades

Cuando los datos personales de un interesado se han utilizado en el entrenamiento de IA en varias entidades del grupo, la arquitectura multientidad de Priverion garantiza que la solicitud de supresión se propague a cada filial relevante. El coordinador de privacidad de cada entidad recibe una tarea, confirma su finalización o documenta una excepción.

El DPD central ve un único panel que muestra el estado en todo el grupo. Se acabaron las hojas de cálculo. Se acabó el "creo que Múnich se ocupó de ello".

100% de tasa de recertificación

Una aseguradora suiza alcanzó una tasa de recertificación del registro de tratamientos del 100% con flujos de trabajo entre entidades totalmente automatizados durante su primer año con Priverion

Integración con el registro de tratamientos: sepa dónde residen los datos de entrenamiento de IA

Etiquete las actividades de tratamiento que implican entrenamiento de IA/ML directamente en su registro de tratamientos. Cuando llega una solicitud de supresión, Priverion contrasta los datos del interesado con sus registros para sacar a la luz cada actividad de tratamiento, incluido el entrenamiento de modelos, en la que aparecen sus datos.

La recertificación automatizada mantiene su registro de tratamientos al día a medida que se entrenan nuevos modelos y se incorporan nuevas fuentes de datos. No se puede suprimir lo que no se puede encontrar.

60% menos de tiempo administrativo

Un fabricante aeronáutico redujo el tiempo administrativo de cumplimiento en un 60% en sus primeros 6 meses, pasando del mantenimiento manual del registro de tratamientos a la recertificación automatizada

Vinculación de EIPD y TIA para el tratamiento con IA

El tratamiento de IA de alto riesgo requiere una EIPD. Priverion vincula sus EIPD relacionadas con la IA directamente con las actividades de tratamiento y los flujos de trabajo de DSR, de modo que cuando una solicitud de supresión activa una revisión, su equipo accede de inmediato a la evaluación de riesgos, al análisis de la base jurídica y a la evaluación de impacto de las transferencias.

La redacción asistida por IA ayuda a su equipo a elaborar EIPD exhaustivas más rápido, mientras que cada resultado de la IA es revisado por su equipo antes de convertirse en un registro de cumplimiento. La IA asiste, las personas deciden.

Alojado en Suiza, creado en Suiza

Todo el tratamiento de datos, incluidas las funciones asistidas por IA, se realiza dentro de la infraestructura suiza. No se utilizan datos de clientes para el entrenamiento de modelos. Verificado en todos los despliegues de Priverion.

Registro de IA para la preparación ante el Reglamento de IA de la UE

El Reglamento de IA de la UE y el RGPD están convergiendo a gran velocidad. El Registro de IA de Priverion le permite inventariar cada sistema de IA de su grupo, clasificar los niveles de riesgo y asignar cada sistema a las actividades de tratamiento de datos personales que lo alimentan.

Cuando llega una solicitud de supresión, su equipo no parte de cero para identificar qué sistemas de IA están afectados. Ya cuenta con un inventario vivo y referenciado de forma cruzada que conecta a los interesados con los modelos y con las actividades de tratamiento.

Proactivo, no reactivo

La capacidad del Registro de IA se corresponde con los requisitos de clasificación de riesgos del artículo 6 del Reglamento de IA de la UE, disponible en todos los niveles de suscripción de Priverion

200+

Horas ahorradas en la gestión del registro de tratamientos

Una empresa de tecnología médica recuperó más de 200 horas durante la preparación de la ISO 27001, un tiempo que antes se dedicaba a la documentación manual y al mantenimiento del registro de tratamientos en toda su organización.

60%

Menor coste frente a las plataformas heredadas

Un fabricante aeronáutico logró una reducción del 60% en los costes administrativos de cumplimiento en 6 meses, con precios predecibles basados en el número de empresas, no en trampas de expansión por usuario.

3 meses

De adelanto en la ISO 27001

El equipo de cumplimiento de una empresa de tecnología médica estuvo listo para la auditoría tres meses antes de su calendario de la ISO 27001, utilizando paquetes de evidencia automatizados y flujos de trabajo de documentación integrados.

Priverion vs. OneTrust

Diseñado para cómo trabajan realmente las medianas empresas

OneTrust presta servicio a organizaciones de la lista Fortune 500 con un alcance de GRC más amplio y equipos de privacidad dedicados. Priverion se creó para organizaciones que necesitan un cumplimiento de nivel empresarial sin la complejidad empresarial, ni la factura empresarial.

Lo que obtiene con Priverion

Soberanía de datos suiza, garantizada

Todo el tratamiento de datos se realiza dentro de la infraestructura suiza. En un mundo posterior a Schrems II, esto no es una casilla de marketing; es la base jurídica para las transferencias internacionales de datos. Residencia de datos europea por diseño, no como un complemento.

Operativo en semanas, no en trimestres

Sin proyecto de implementación de seis meses. Sin equipo de integración dedicado. Un fabricante aeronáutico pasó del lanzamiento a la recertificación automatizada del registro de tratamientos en varias filiales en su primera fase de despliegue, y redujo el tiempo administrativo de cumplimiento en un 60%.

Fabricante aeronáutico, primeros 6 meses tras el despliegue

Precios que no penalizan el crecimiento

Basado en el número de empresas y el tamaño de la organización, no en licencias por usuario o por módulo. Añada miembros al equipo, incorpore nuevas filiales y active capacidades sin renegociar su contrato ni ver cómo se disparan los costes.

Una plataforma, cobertura completa

Registro de tratamientos, EIPD/TIA, evaluaciones de riesgo de proveedores, gestión de incidentes, gestión de DSR, Registro de IA y mapeo de datos entre entidades, todo en una única plataforma. Sin módulos adicionales, sin ventas adicionales por sorpresa.

IA que asiste, nunca decide

Redacción de EIPD asistida por IA, puntuación de riesgos y mapeo normativo, con cada resultado revisado antes de convertirse en un registro de cumplimiento. No se utilizan datos de clientes para el entrenamiento de modelos. Transparencia y control integrados desde el primer día.

Lo que reportan los equipos del mercado medio sobre OneTrust

Con sede en EE. UU. y alojado en EE. UU. por defecto

Existen opciones de alojamiento europeo, pero a menudo se ofrecen como complementos premium. Para las organizaciones que gestionan datos personales sensibles en jurisdicciones de la UE y suizas, la arquitectura por defecto crea una carga adicional de evaluación de impacto de las transferencias.

Implementación medida en meses

Las implementaciones a escala empresarial suelen requerir equipos de proyecto dedicados, consultores externos y un tiempo de configuración considerable. Para las organizaciones del mercado medio sin una oficina de privacidad de 10 personas, esto sobrecarga los recursos internos.

Precios por usuario y por módulo

Los costes pueden escalar rápidamente a medida que crecen los equipos o se necesitan nuevas capacidades. Las organizaciones del mercado medio reportan con frecuencia pagar por una amplitud que no usan mientras necesitan una profundidad que tienen que comprar por separado.

Amplitud frente a profundidad en privacidad

OneTrust abarca ESG, ética, consentimiento y mucho más, lo cual es potente para los programas de la Fortune 500. Pero para los equipos centrados específicamente en la gestión del programa de privacidad en múltiples entidades, la complejidad de la plataforma a menudo supera la necesidad.

Densidad de funciones, curva de aprendizaje pronunciada

El alcance de la plataforma implica que los DPD y los responsables de cumplimiento necesitan una formación considerable para dominarla. Para los equipos de privacidad reducidos que gestionan las operaciones del día a día, el tiempo dedicado a aprender la herramienta es tiempo que no se dedica al trabajo de cumplimiento.

Basado en reseñas disponibles públicamente (G2, Gartner Peer Insights) y en comentarios directos de organizaciones que evaluaron ambas plataformas.

No cubrimos ESG, líneas éticas ni consentimiento de cookies. Nuestra fortaleza es la gestión del programa de privacidad a nivel de grupo, y lo hacemos mejor que nadie.

Reservar una demo
Guía gratuita: descarga en PDF

El manual del DPD: gestionar las solicitudes de supresión cuando los datos personales residen dentro de modelos de IA

Una guía práctica de 22 páginas para profesionales de la privacidad que navegan por la zona gris jurídica entre las obligaciones de supresión del artículo 17 y la realidad técnica de los pipelines de aprendizaje automático. Elaborada a partir de medidas de aplicación reales, directrices del EDPB y marcos operativos utilizados por organizaciones multientidad.

Lo que obtendrá:

  • Un árbol de decisión para clasificar las solicitudes de supresión por tipo de modelo, desde aquellos en los que el reentrenamiento es viable hasta los técnicamente imposibles, con plantillas de justificación documentada para las autoridades de control
  • Análisis de 6 medidas de aplicación (Garante italiano, ICO, CNIL) en las que la supresión se cruzó con la IA, incluido lo que los reguladores aceptaron como alternativas conformes a la eliminación total del modelo
  • Un flujo de trabajo de supresión a nivel de grupo para organizaciones multientidad que rastrean datos personales en filiales, proveedores y sistemas de IA compartidos, incluidos los puntos de control de integración con el registro de tratamientos
  • Un suplemento de EIPD listo para usar para sistemas de IA que tratan datos personales, que aborda la viabilidad de la supresión, las evaluaciones de proporcionalidad y los requisitos de documentación de los artículos 17 y 35

Consiga la guía, gratis

Introduzca su correo profesional y le enviaremos el PDF directamente a su bandeja de entrada. Sin llamadas comerciales, sin necesidad de una demo.

PDF gratuito. Sin necesidad de demo. Se lo enviaremos a su bandeja de entrada.

Deje de gestionar el cumplimiento de la privacidad en hojas de cálculo. Empiece a gestionarlo de verdad.

Un fabricante aeronáutico redujo el tiempo administrativo de cumplimiento en un 60% en seis meses. Una aseguradora suiza alcanzó el 100% de recertificación del registro de tratamientos, totalmente automatizada. Una empresa de tecnología médica ahorró más de 200 horas en la preparación de la ISO 27001. En 30 minutos, le mostraremos exactamente cómo funciona para la estructura de su grupo.

Visibilidad a nivel de grupo

En cada filial y jurisdicción

Soberanía de datos suiza

Creado y alojado en Suiza

Precios predecibles

Sin trampas de expansión por usuario o por módulo

Reservar una demo

Operativo en semanas, no en meses. Sin compromiso.

The Privacy Compliance Briefing

Análisis mensuales sobre la aplicación del RGPD, novedades de la LPD suiza y estrategias de automatización para DPD y equipos de cumplimiento.

Sin spam. Cancele la suscripción cuando quiera.

Reservar una demo
Acerca de esta página — referencias, definiciones y preguntas frecuentes

Puntos clave — Derecho de supresión para modelos de IA entrenados

El artículo 17 del RGPD concede a los interesados el derecho a solicitar la supresión de sus datos personales, pero hacer valer este derecho se complica cuando los datos están integrados en los pesos de los modelos de IA, en los pipelines de entrenamiento y en bases de datos vectoriales. Las organizaciones que operan en múltiples filiales y jurisdicciones necesitan flujos de trabajo estructurados, evaluaciones de viabilidad y registros de auditoría inmutables para responder de forma defendible. La plataforma alojada en Suiza de Priverion automatiza estos flujos de trabajo, propaga las solicitudes de supresión entre las entidades del grupo y genera documentación lista para el regulador.

Definiciones

¿Qué es el derecho de supresión (derecho al olvido)?

El derecho de supresión es el derecho de un interesado, en virtud del artículo 17 del RGPD, a obtener del responsable del tratamiento la supresión de los datos personales sin dilación indebida cuando concurra alguno de varios motivos, incluida la retirada del consentimiento o cuando los datos ya no sean necesarios para el fin con el que se recogieron.

¿Qué es el desaprendizaje automático (machine unlearning)?

El desaprendizaje automático (machine unlearning) se refiere a las técnicas que eliminan la influencia de puntos de datos de entrenamiento concretos de un modelo de aprendizaje automático entrenado sin requerir un reentrenamiento completo. Según el marco de IA del NIST, el desaprendizaje es un área de investigación emergente relevante para la IA que preserva la privacidad.

¿Qué es una solicitud de acceso del interesado (DSAR)?

Una solicitud de acceso del interesado (DSAR) es una solicitud realizada por un interesado en virtud del artículo 15 del RGPD para obtener confirmación de si se están tratando datos personales y, en su caso, acceder a dichos datos. Las solicitudes de supresión del artículo 17 a menudo siguen a las DSAR.

¿Qué es una evaluación de impacto relativa a la protección de datos (EIPD)?

Una evaluación de impacto relativa a la protección de datos (EIPD) es un proceso exigido en virtud del artículo 35 del RGPD para las operaciones de tratamiento que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas. El entrenamiento de modelos de IA con datos personales suele activar este requisito.

Estadísticas y contexto del sector

Según el IAPP-EY Annual Privacy Governance Report (2023), el 60% de las organizaciones afirmaron que responder a las solicitudes de los interesados es uno de sus tres principales retos operativos en materia de privacidad. El mismo informe constató que la organización media procesa más de 500 DSAR al año, con un crecimiento de las solicitudes relacionadas con la IA como categoría diferenciada.

El Dictamen 28/2024 del EDPB sobre los aspectos de protección de datos de los modelos de IA aclaró que los datos personales pueden considerarse "contenidos" en un modelo si pueden extraerse mediante consultas, y que los responsables del tratamiento deben evaluar este riesgo e implementar las medidas adecuadas.

Un estudio Cisco Data Privacy Benchmark de 2024 reveló que el 94% de las organizaciones afirman que sus clientes no les comprarían si los datos no estuvieran debidamente protegidos, lo que subraya el imperativo empresarial que hay detrás de unos procesos de supresión defendibles.

El Reglamento de IA de la UE (Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024, y las obligaciones para los sistemas de IA de alto riesgo se aplican de forma escalonada hasta 2026. El artículo 10 exige medidas de gobernanza de datos para los datos de entrenamiento, lo que se cruza directamente con las obligaciones de supresión del RGPD.

Preguntas frecuentes

¿Qué es el derecho de supresión en virtud del artículo 17 del RGPD?

El derecho de supresión, recogido en el artículo 17 del RGPD, otorga a los interesados el derecho a solicitar la eliminación de sus datos personales cuando ya no sean necesarios para el fin con el que se recogieron, cuando se retire el consentimiento o cuando el tratamiento sea ilícito. Los responsables del tratamiento deben suprimir los datos "sin dilación indebida", normalmente en el plazo de un mes según el artículo 12(3).

¿Se pueden suprimir realmente los datos personales de los modelos de IA entrenados?

La supresión total de los datos personales de los pesos de una red neuronal entrenada es técnicamente compleja porque los datos están integrados en los parámetros del modelo en lugar de almacenarse como registros discretos. El Dictamen 28/2024 del EDPB reconoce esta complejidad y afirma que los responsables del tratamiento deben documentar las evaluaciones de viabilidad y aplicar medidas compensatorias, como el filtrado de salidas, cuando la supresión total no sea viable.

¿Cómo gestiona Priverion las solicitudes de supresión relacionadas con la IA?

Priverion enruta las solicitudes de supresión relacionadas con la IA a través de un flujo de trabajo específico que marca la implicación de datos de entrenamiento de IA, asigna partes interesadas en los equipos de privacidad, ingeniería de ML y jurídico, genera evaluaciones de viabilidad estructuradas alineadas con las directrices del EDPB y mantiene un registro de auditoría inmutable. La propagación entre entidades garantiza que cada filial del grupo procese la solicitud con un estado de finalización rastreado.

¿Qué es el desaprendizaje automático y cómo se relaciona con el RGPD?

El desaprendizaje automático es un conjunto de técnicas diseñadas para eliminar la influencia de datos de entrenamiento concretos de un modelo entrenado sin un reentrenamiento completo. Es relevante para el cumplimiento del RGPD porque ofrece una posible vía para satisfacer las solicitudes de supresión de datos integrados en modelos de IA. Instituciones de investigación y empresas están avanzando en métodos de desaprendizaje aproximado, aunque el campo sigue siendo incipiente.

¿Qué dice el EDPB sobre la IA y el derecho de supresión?

El Dictamen 28/2024 del EDPB afirma que los responsables del tratamiento deben evaluar si los datos personales pueden extraerse de los modelos de IA y deben implementar las medidas técnicas y organizativas adecuadas. Cuando la supresión total de los pesos del modelo no sea viable, los responsables del tratamiento deben documentar las limitaciones técnicas y aplicar medidas compensatorias.

¿De cuánto tiempo disponen las organizaciones para responder a una solicitud de supresión?

En virtud del artículo 12(3) del RGPD, los responsables del tratamiento deben responder sin dilación indebida y en el plazo de un mes. Este plazo puede prorrogarse otros dos meses para las solicitudes complejas, pero debe informarse al interesado dentro del primer mes. Las solicitudes de supresión relacionadas con la IA suelen calificarse como complejas debido a los retos de viabilidad técnica que implican el reentrenamiento o el desaprendizaje del modelo.

¿Cuál es el impacto del Reglamento de IA de la UE en el cumplimiento de la supresión?

El Reglamento de IA de la UE (Reglamento 2024/1689) exige a los proveedores de sistemas de IA de alto riesgo que mantengan prácticas de gobernanza de datos, incluida la trazabilidad de los datos de entrenamiento. Esto se cruza con las obligaciones de supresión del RGPD porque las organizaciones deben saber qué datos personales se utilizaron para entrenar qué modelos. Mantener un registro de IA que asigne los interesados a los modelos respalda tanto el cumplimiento del Reglamento de IA de la UE como las respuestas de supresión defendibles.

¿Cómo afecta el alojamiento de datos en Suiza al cumplimiento de la supresión del RGPD?

Suiza se beneficia de una decisión de adecuación de la UE, lo que significa que los datos personales pueden fluir de la UE a Suiza sin garantías adicionales. El alojamiento en Suiza proporciona una base jurídicamente estable para el tratamiento transfronterizo de datos, algo especialmente relevante en el panorama posterior a Schrems II, en el que los encargados del tratamiento con sede en EE. UU. se enfrentan a una incertidumbre jurídica continua.

Comparativa: enfoques de supresión en la IA

EnfoqueDescripciónDefendibilidad ante el RGPDViabilidad
Reentrenamiento completo del modeloReentrenar el modelo desde cero excluyendo los datos del interesadoAlta — eliminación completaBaja — costoso y lento para modelos grandes
Desaprendizaje automáticoAplicar algoritmos de desaprendizaje aproximado para reducir la influencia de los datosMedia — depende de la verificaciónMedia — área de investigación activa, herramientas de producción limitadas
Filtrado de salidasBloquear las salidas del modelo que podrían revelar la información del interesadoMedia — medida compensatoria, no supresiónAlta — puede desplegarse rápidamente
Aislamiento de datos y controles de accesoRestringir el acceso a los datos de entrenamiento y a las salidas del modelo que contengan datos personalesMedia — medida compensatoria documentadaAlta — práctica de seguridad estándar
Inviabilidad documentada con medidas compensatoriasDocumentar por qué la supresión total es técnicamente inviable y aplicar salvaguardas alternativas según las directrices del EDPBAlta — si está bien documentada con registro de auditoríaAlta — Priverion automatiza este flujo de trabajo