Diritto all’oblio: cosa dice il GDPR

Il GDPR consente, in alcuni casi, agli utenti di chiedere alle organizzazioni la cancellazione dei propri dati personali. Non sempre, però, imprese ed enti sono tenute ad eseguire questa cancellazione. Andiamo a vedere, nello specifico, quando si applica il diritto all’oblio.

Il regolamento generale sulla protezione dei dati disciplina le modalità di raccolta, elaborazione e anche di cancellazione dei dati personali. Il diritto all’oblio, soprattutto dopo una sentenza del 2014 da parte della Corte di Giustizia Europea, ha ottenuto un’elevata attenzione mediatica. Questa sentenza ha confermato e riconosciuto l’esistenza stessa del diritto all’oblio, consentendo agli utenti di richiedere l’eliminazione dagli indici di Google di informazioni personali ritenute inadeguate, irrilevanti o non più rilevanti.

In quali articoli del GDPR si parla di diritto all’oblio

Nozioni di diritto all’oblio sono riscontrabili nell’articolo 17 del GDPR. In particolare, l’articolo conferma che l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo. Dall’altra parte, il titolare del trattamento è obbligato a cancellare, senza ingiustificato ritardo, i dati personali.

Quando si applica il diritto all’oblio

Affinché, però, l’interessato possa far valere il diritto alla cancellazione, è necessario far fede ad almeno una delle seguenti motivazioni:

  • Trattamento illecito dei dati personali;
  • Cancellazione dei dati personali per l’adempimento ad un obbligo legale disciplinato da leggi europee o dello stato membro cui è soggetto il titolare del trattamento;
  • Dati personali raccolti in merito all’offerta di servizi della società dell’informazione;
  • Opposizione dell’interessato al trattamento e assenza di alcun motivo legittimo prevalente per procedere al trattamento;
  • Revoca del consenso da parte dell’interessato e assenza di altro fondamento giuridico per il trattamento;
  • Dati personali non più necessari rispetto alle finalità per le quali sono stati raccolti o trattati;

Nel caso in cui siano stati resi pubblici dati personali e vi sia l’obbligo della cancellazione, il titolare del trattamento deve adottare misure ragionevoli, anche di tipo tecnico, per informare i titolari del trattamento attivi nel trattamento dei dati personali circa la richiesta dell’interessato di procedere alla cancellazione di qualunque link, copia o riproduzione dei suoi dati personali. Tali misure vanno adottate tenendo conto anche dei costi di attuazione e delle possibilità offerte dalla tecnologia disponibile.

Quando non si applica il diritto all’oblio

Il diritto all’oblio non si applica quando il trattamento è necessario:

  • Per far sì che possa esercitarsi il diritto alla libertà d’espressione e d’informazione;
  • Per garantire l’adempimento ad un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui il titolare del trattamento è soggetto o per consentire l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri conferiti al titolare del trattamento;
  • Per questioni di interesse pubblico relativamente all’ambito della sanità pubblica;
  • Per scopi di archiviazione, nel pubblico interesse, scopi statistici, di ricerca scientifica o storica;
  • Per far sì che possa essere accertata o esercitata o garantita la difesa di un diritto in ambito giudiziario

Cosa comporta il diritto all’oblio

Il diritto all’oblio comporta la necessità per aziende, enti ed organizzazioni di essere assolutamente chiari con le persone circa l’utilizzo che verrà fatto dei dati una volta soddisfatta la richiesta di cancellazione. Un discorso che coinvolge anche i sistemi di backup.
Le richieste di cancellazione giudicate manifestatamente infondate o eccessive potrebbero anche essere rifiutate. È importante, però, che l’azienda sia in grado di dimostrare all’individuo perché la richiesta è stata considerata evidentemente infondata o eccessiva.
La richiesta di cancellazione potrebbe, ad esempio, essere rifiutata quando:

  • L’individuo non ha alcuna intenzione di esercitare il diritto alla cancellazione (ad esempio, effettua la richiesta e poi propone di ritirarla chiedendo in cambio qualcosa);
  • L’individuo ha dichiarato esplicitamente, nella richiesta stessa o in altre comunicazione, che la sua azione è puramente disturbativa;
  • La richiesta solleva accuse senza alcun tipo di fondamento nei confronti di uno specifico utente o dipendente

Questi sono solo alcuni esempi. In linea generale, il comportamento giusto da osservare comporta l’impegno di prendere in considerazione con la dovuta attenzione ogni richiesta, valutando caso per caso se sussistano le condizioni per procedere alla cancellazione dei dati personali del richiedente.