Cancellazione dei dati personali: diritto all’oblio

Il diritto alla cancellazione dei dati personali è tra le novità in materia di privacy contenute nel GDPR (Regolamento europeo per la protezione dei dati personali). Vediamo come funziona il diritto all’oblio e cosa fare.

Cancellazione dei dati personali: diritto all’oblio

Diritto alla cancellazione dei dati personali: come funziona

Il soggetto interessato dal trattamento può richiedere la cancellazione dei dati personali al titolare che li ha raccolti e impedirne l’uso. Una volta ricevuta tale richiesta, il titolare del trattamento ha l’obbligo di procedere alla cancellazione. Per eseguire la cancellazione devono essere eliminati tutti i collegamenti, le copie o le riproduzioni dei dati. A tale scopo, il titolare del trattamento dovrà comunicare la richiesta di cancellazione ad eventuali altri titolari che stiano trattando gli stessi dati.

Ad esempio, in caso di raccolta online, la cancellazione si realizza con la rimozione di tutte le informazioni e dei contenuti dell’interessato dalla piattaforma web e dal relativo database.

Quando si può richiedere la cancellazione dei dati

L’interessato può richiedere la cancellazione dei dati personali che lo riguardano nei seguenti casi:

  • i dati non sono più necessari per le finalità per le quali sono stati raccolti. Ad es. in caso di acquisto online, il dato dell’indirizzo potrà essere cancellato non appena la spedizione sarà conclusa
  • revoca del consenso al trattamento dei dati personali e mancanza di altri motivi legittimi per il trattamento
  • opposizione al trattamento dei dati e mancanza di un motivo legittimo per procedere al trattamento. Ad es. l’interessato può opporsi quando i dati vengono trattati per profilazione o marketing diretto
  • trattamento illecito dei dati: se il titolare vìola una qualsiasi norma in materia di protezione dei dati l’interessato
  • i dati raccolti riguardano un minore di età inferiore ai 14 anni. A meno che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale (art. 2-quinquies D.Lgs. 196/2003 emendato)
  • in tutti gli altri casi in cui vi è un obbligo di cancellazione previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento

Quando il diritto all’oblio non è garantito

Il diritto all’oblio non è un diritto assoluto in quanto può essere limitato da esigenze di interesse pubblico o di libera informazione. Infatti, l’interessato può non ottenere la cancellazione dei suoi dati se il trattamento dei dati è necessario per:

  • l’esercizio del diritto alla libertà di espressione e di informazione (ad esempio, l’interesse della collettività potrebbe superare l’interesse personale di un personaggio pubblico a far cancellare dei contenuti dal web)
  • l’esercizio del diritto di difesa in sede giudiziaria
  • motivi di interesse pubblico generale di tutela della salute pubblica
  • fini di archiviazione, di ricerca storica o scientifica o di analisi statistica: in questo caso i dati dovranno essere anonimizzati prima di essere utilizzati
  • l’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse o nell’esercizio di pubblici poteri

Cosa deve fare l’interessato

L’interessato che vuole far cancellare i propri dati oppure che revoca il consenso al trattamento dei dati personali deve inoltrare una richiesta al titolare di trattamento o al responsabile del trattamento, se designato. La richiesta di cancellazione non deve avere una forma particolare (ad esempio, una semplice mail o via PEC, una lettera raccomandata). Tuttavia, è importante che la richiesta permetta al titolare l’identificazione dell’interessato per procedere alla cancellazione dei dati che lo riguardano.

Nel caso in cui il titolare non proceda alla cancellazione o non comunichi l’avvenuta cancellazione all’interessato, questi può rivolgersi all’autorità di controllo (Garante della privacy) o giudiziaria per far valere il proprio diritto all’oblio. 

Cosa deve fare il titolare

Quando il titolare riceve da un interessato una richiesta di cancellazione dei dati personali deve procedere alla cancellazione o alla sua anonimizzazione senza ingiustificato ritardo e al massimo entro 1 mese dal ricevimento della richiesta stessa. Il titolare dovrà inoltre avvisare l’interessato per iscritto (anche via email) che la cancellazione è avvenuta.  La risposta deve essere chiara, concisa e facilmente accessibile.

Se l’operazione di cancellazione è particolarmente complessa, il termine può essere esteso a 3 mesi. In tal caso, il titolare del trattamento deve informare l’interessato dei motivi del ritardo entro 1 mese dal ricevimento della richiesta.  

Inoltre, se il titolare non può evadere la richiesta di cancellazione dei dati personali, deve informare l’interessato dei motivi dell’impossibilità al più tardi entro 1 mese dal ricevimento della richiesta. 

La cancellazione dei dati dell’interessato deve essere gratuita. Solo nel caso in cui le richieste dell’interessato siano manifestamente infondate, eccessive o ripetitive, il titolare del trattamento può richiedere un contributo spese ragionevole oppure può rifiutarsi di effettuare la cancellazione. In questo caso, il titolare del trattamento ha l’onere di provare che la richiesta sia manifestamente infondata o eccessiva.

GDPR cancellazione dati: i documenti e gli adempimenti

Su LexDo.it potrai creare in pochi minuti i documenti privacy previsti dalla GDPR. Ti basterà rispondere a semplici domande per generare i documenti personalizzati per le tue esigenze.

Ad esempio, oltre a conoscere le procedure per la cancellazione dei dati privacy, potresti avere bisogno di privacy policy onlineofflinecookie policy e registro dei trattamenti

Oltre ai documenti di informativa, è necessario adeguare i processi interni della tua società a tutti gli adempimenti GDPR. Per adeguare i processi aziendali potrai richiedere una consulenza specifica ai nostri esperti per evitare violazioni della privacy.

Per scoprire di più visita la pagina www.lexdo.it/prezzi/