Quando, come e quali dati cancellare

Una delle questioni più dibattute e complesse, soprattutto sotto il profilo pratico, è quella relativa al diritto dell’interessato alla cancellazione dei propri dati, oggi sancito, a livello normativo, dall’art. 17 del Regolamento UE 679/2016 (GDPR).

L’art. 17 del Regolamento riconosce, infatti, all’individuo/interessato il cosiddetto diritto all’oblio e, cioè, il diritto di poter chiedere in ogni momento la rettifica dei propri dati personali nonché di procedere alla loro cancellazione (e, dunque, nel contesto del web, appunto, all’oblio), se la conservazione di tali dati non è conforme al Regolamento stesso.

In base a quanto previsto dal GDPR, l’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano, quando sussiste almeno uno dei seguenti motivi:

1. i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, eccedendo tali finalità;
2. l’interessato ritira il consenso su cui si basa il trattamento e non sussiste altro motivo legittimo per trattare i dati;
3. l’interessato si oppone al trattamento dei dati personali e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
4. i dati sono stati trattati illecitamente;
5. i dati devono essere cancellati per adempiere a un obbligo legale previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il Titolare del trattamento;
6. i dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione diretti a minori di età.

In questi casi – non in via generalizzata – il Titolare del trattamento ha l’obbligo di procedere alla cancellazione, a fronte di una qualsiasi richiesta in tal senso dell’interessato.

Il diritto alla cancellazione dei dati integra il diritto di rettifica e di integrazione previsto dal precedente art. 16 GDPR ed era, come sappiamo, già previsto dall’art. 7 del nostro “vecchio” Codice Privacy, prima dell’abrogazione ad opera del D.lgs. 101/2018.

La conseguenza pratica più rilevante dell’esercizio del diritto di cancellazione da parte dell’interessato è che la cancellazione rende impossibile per il Titolare del trattamento l’ulteriore trattamento, ivi compresa la mera conservazione dei dati personali dell’interessato.

E’, d’altra parte, pur vero che il diritto alla cancellazione conosce delle eccezioni, (previste dall’art. 17, comma 3, GDPR), quando il trattamento dei dati sia necessario:

1. per l’esercizio del diritto alla libertà di espressione;
2. per l’adempimento di un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse o nell’esercizio di pubblici poteri;
3. per motivi di interesse pubblico nel settore della sanità pubblica;
4. a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
5. per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

A questo elenco si aggiungono, poi le limitazioni all’esercizio del diritto alla cancellazione introdotte nel nostro Codice Privacy (post D.lgs. 101/2018), nelle seguenti ipotesi:

1. casi di pregiudizio effettivo e concreto agli interessi tutelati in base alle norme in materia di riciclaggio;
2. situazioni in materia di sostegno alle vittime di richieste estorsive;
3. attività delle Commissioni parlamentari d’inchiesta;
4. attività di un soggetto pubblico connesse al sistema dei pagamenti, al controllo degli intermediari e dei mercati finanziari;
5. svolgimento delle attività difensive o esercizio di un diritto in sede giudiziaria;
6. riservatezza dell’identità del dipendente che segnala, ai sensi della L. 179/2017, illeciti di cui è venuto a conoscenza in ragione del proprio ufficio (il cosiddetto whistleblowing);
7. trattamenti per ragioni di giustizia.

Il nostro ordinamento, inoltre, ha previsto, un ulteriore caso particolare e, cioè, quello relativo alle persone decedute: l’art. 2-terdecies del D.lgs 101/2018 prevede, infatti, la possibilità che il diritto alla cancellazione dei dati personali del defunto sia esercitato da chi ha interesse proprio o agisce a tutela dell’interessato, in qualità di suo mandatario o per ragioni familiari meritevoli di protezione.

Quest’ultima disposizione precisa, poi, che:
– l’interessato, in vita, può vietare l’esercizio del diritto di cancellazione;
– tale divieto non deve recare pregiudizio all’esercizio, da parte di terzi, dei diritti patrimoniali che possano derivare dalla morte dell’interessato e al diritto di tutelare in giudizio i propri interessi;
– il diritto alla cancellazione non è esercitabile, con riguardo all’offerta di servizi della società dell’informazione(quali, ad esempio, i social network) nel caso in cui l’interessato lo abbia, in vita, espressamente vietato, con dichiarazione scritta presentata o comunicata al Titolare del trattamento.

Una volta cancellati i dati, il Titolare del trattamento che li ha resi pubblici è, inoltre, tenuto ad adottare misure procedurali, organizzative e tecniche per portare a conoscenza gli ulteriori Titolari del trattamento che stanno trattando i dati personali dell’interessato, della richiesta da questi avanzata di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali, informando i terzi della richiesta di cancellazione.

L’elemento innovativo apportato dal GDPR al contenuto del diritto alla cancellazione si sostanzia, dunque, anche nel porre in capo al Titolare, a cui venga presentata richiesta di cancellazione, l’obbligo ulteriore di farsi carico, sulla base delle tecnologie a disposizione e tenuti conto i costi da sostenere, di concorrere a dare ampia ed effettiva tutela all’interessato, attivandosi verso i terzi.

Come si procede alla cancellazione

Per attuare la cancellazione dei dati, il Titolate del trattamento può provvedere mediante:

a) distruzione;
b) anonimizzazione, cioè sottoponendo i dati a trattamenti che non rendano più possibile l’identificazione dell’interessato.

Occorre, peraltro, precisare che, perché si possa parlare di cancellazione, la pseudonimizzazione prevista dall’art. 4, n. 5 GDPR (cioè “il trattamento dei dati personali tale da far sì che questi “non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” secondo la definizione datane dal WP29 nel parere 5/2014, che potete leggere nella sezione “documenti utili” del Blog, cliccando qui) non è ritenuta sufficiente.

Il Titolare deve adempiere alle richieste di cancellazione senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento dell’istanza. Il termine può essere prorogato, tenuto conto della complessità e del numero delle richieste, di due mesi dandone preavviso tempestivo all’interessato.

La disciplina della cancellazione sembra, quindi, a prima vista molto lineare, ma nasconde, soprattutto per chi ha moltissimi dati, numerose insidie, perché si intreccia con molti altri istituti, necessità ed obblighi di legge, tra loro non sempre coerenti e compatibili, generando numerose problematiche, anche di ordine pratico, sulle quali mi soffermerò nei miei futuri interventi sul tema, data la loro complessità e trasversalità.