Una breve premessa: il diritto alla cancellazione stabilito all’art. 17 GDPR non corrisponde all’onere di cancellazione che incombe sul Titolare al termine del periodo di conservazione dei dati. Infatti, sebbene il risultato sia lo stesso, ossia la cancellazione dei dati, l’art. 17 GDPR conferisce un vero e proprio diritto in capo agli interessati, tramite il quale questi ultimi possono richiedere al Titolare la rimozione dei loro dati personali.Indice degli argomenti
Quando viene esercitato il diritto alla cancellazione?Quando il trattamento non è più necessario?Verifiche del Titolare davanti a una richiesta cumulativaApplicazione pratica del diritto alla cancellazione GDPRCome fare nella pratica? Un’efficace mappatura e altre istruzioni da mettere in campoE gli altri diritti riconosciuti in capo all’interessato?Quando viene esercitato il diritto alla cancellazione?Tale diritto, come noto, non è assoluto, ma viene concesso quando sussistono determinate condizioni, alternative fra di loro:• I dati personali non sono più necessari per il raggiungimento della finalità predeterminata e rispetto alla quale sono stati trattati• L’interessato ha revocato il consenso al trattamento dei suoi dati• Il trattamento dei dati personali è illecito• I dati personali devono essere rimossi per adempiere ad un obbligo legale• I dati personali sono stati raccolti nel contesto di un’offerta di servizi di una società dell’informazione e quindi si riferiscono a minoriIl primo punto, relativo alla necessità del trattamento dei dati per il raggiungimento della finalità predeterminata, è quello che più si avvicina all’onere che ricade sul Titolare quando il periodo di conservazione dei dati è giunto al termine.Si tratta di una precisazione di non poco conto, in quanto consente di ritenere accoglibile una richiesta di cancellazione di un interessato, ad esempio quando termina il rapporto intercorrente col Titolare: succede infatti spesso nella pratica che, una volta concluso il rapporto o il contatto col Titolare, l’interessato richieda la cancellazione dei dati personali.Che si tratti di un potenziale abuso del diritto oppure di una richiesta legittima, rimane il fatto che un’istanza di esercizio del diritto alla cancellazione spesso richiede un’attenta analisi e verifica della sua fondatezza.Occorrerà pertanto verificare la liceità del trattamento, gli obblighi di legge sul punto, se sussistenti e una eventuale revoca del consenso.Quando il trattamento non è più necessario?Partiamo dall’inizio: come fare a capire quando è davvero non più necessario il trattamento?L’art. 17 GDPR specifica nel dettaglio i casi in cui la cancellazione può essere rifiutata, sempre alternativi fra di loro, come segue:• per l’esercizio del diritto alla libertà di espressione e di informazione• per l’adempimento di un obbligo di legge cui è soggetto il Titolare o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare stesso• per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3• a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1• per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.Le suddette casistiche nulla dicono riguardo la necessità del trattamento ai fini del raggiungimento della finalità predeterminata dal Titolare. Chiaramente, a monte, il fatto che vi sia un’esigenza di difesa in sede giudiziaria, una necessità di informazione, un obbligo legale alla conservazione, consente di dedurre la sussistenza di un’esigenza ancora attuale di effettuare un trattamento, fosse anche semplicemente la conservazione stessa.Verifiche del Titolare davanti a una richiesta cumulativaTuttavia, ci si chiede, nella pratica, come occorre muoversi di fronte ad una richiesta di esercizio dei diritti che, per esempio, richieda cumulativamente accesso, limitazione, opposizione etc… di tutti i dati personali trattati dal Titolare per le sue finalità.Sembra evidente che ciò richiede nella pratica una preliminare e attenta verifica del contesto, appunto chiedendosi:• le finalità predeterminate per le quali sono stati raccolti e utilizzati i dati dell’interessato sono ancora attuali?• per ciascuna delle finalità individuate, vi è ancora attualità nel trattamento?• Il trattamento è corretto?• Il trattamento è lecito?I punti cardine della verifica, pertanto, convergono tutti sulla sempreverde esigenza di garantire un trattamento lecito, corretto, trasparente, che rispetti altresì il principio di limitazione della finalità e della conservazione.Ed ancora, la necessità del trattamento deve essere attuale: a nulla serve il timore di un’eventuale futura azione giudiziaria per conservare i dati ovvero ancora la semplice eventualità di un ipotetico futuro trattamento, magari ulteriore e non esplicitato preventivamente all’interno dell’informativa.Applicazione pratica del diritto alla cancellazione GDPRCome è stato applicato nella pratica tale diritto?Il 18 febbraio 2026 lo European Data Protection Board (di seguito, EDPB) ha stilato un report successivo ad un’indagine condotta nel 2025 riguardo l’applicazione in concreto e il rispetto del diritto alla cancellazione (CEF – Coordinated Enforcement Framework).L’indagine ha voluto coinvolgere moltissime Autorità di Controllo e centinaia di Titolari del trattamento, al fine di comprendere se e come viene rispettato tale diritto.Il risultato ha portato alla luce una serie di problematiche riguardo la sua corretta gestione; in sintesi si è analizzato che spesso i Titolari non sono conformi riguardo:• Sussistenza di procedure e documenti per la gestione delle istanze• Formazione inesistente o inadeguata, a seconda dei casi• Informativa inadeguata rispetto alle informazioni da fornire per l’esercizio del diritto alla cancellazione• Incertezza giuridica riguardo i casi di rifiuto alla richiesta di cancellazione• Individuazione e definizione dei tempi di conservazione• Cancellazione anche per i dati contenuti nei back up• Difficoltà nella implementazione di procedure corrette ed efficaci di anonimizzazione.Lo EDPB pertanto ha proposto una serie di azioni pratiche ai Titolari ed altresì ha suggerito anche alle Autorità di Controllo di supportare i Titolari, ad esempio sviluppando template di procedure, registri delle richieste di cancellazione ovvero anche istruzioni e linee guida operative per consentire un’efficace gestione di tutte le fasi del processo di cancellazione.Come fare nella pratica? Un’efficace mappatura e altre istruzioni da mettere in campoAlla luce delle problematiche riscontrate dall’EDPB nel CEF 2025 di seguito si vuole fornire una lista di suggerimenti pratici per gestire adeguatamente le richieste di cancellazione.Una volta stabilito se accogliere o meno la richiesta di cancellazione, il singolo Titolare deve individuare i dati personali coinvolti, per ciascuna finalità soggetta alla cancellazione stessa.Si tratta di un passaggio spesso di estrema difficoltà, specie quando vengono utilizzati CRM oppure sistemi di intelligenza artificiale.Se si pensa a tutti i dati contenuti all’interno di tali sistemi, risulta chiaro come non sia sempre agevole procedere ad una corretta cancellazione, che potrebbe anche risultare onerosa.Pertanto, sarà necessario procedere con un’efficace mappatura di tutti i dati personali coinvolti e dei luoghi, specialmente digitali oltre che fisici, dove sono presenti e successivamente individuare i trattamenti su di essi svolti, quali raccolta, uso, modifica, estrazione, raffronto etc….Sarà quindi poi opportuno:• A seguito della mappatura, monitorare e aggiornare costantemente il registro dei trattamenti ex art. 30 GDPR, verificando le tempistiche di conservazione per ciascuna finalità• Definire una procedura adeguata per la gestione delle richieste di cancellazione, con annessa evidenza della loro gestione, ad esempio con un registro delle richieste di esercizio dei diritti• Implementare e aggiornare/monitorare l’efficacia dei sistemi di cancellazione, sia digitale che fisica, se fisica, nel rispetto degli standard normativi richiesti. Sul punto si ricorda che le e-mail non possono essere ritenute un database, ma devono rispettare determinate tempistiche di conservazione• Di conseguenza, implementare i processi di anonimizzazione con valutazione del rischio, in particolare del rischio di re-identificazione• Informare gli altri Titolari, se la fattispecie è applicabile• Garantire una costante formazione sul punto ai soggetti autorizzati• Rispondere alle domande indicate nel paragrafo sopra, circa la liceità e correttezza del trattamento e delle finalità.E gli altri diritti riconosciuti in capo all’interessato?Spesso si assiste nella pratica ad una richiesta di esercizio dei diritti cumulativa da parte dell’interessato: accesso, revoca consenso, opposizione, limitazione, portabilità.È evidente che ciascuna richiesta deve essere esaminata e riscontrata nel dettaglio.Se viene richiesta la limitazione, tuttavia, in uno alla cancellazione, si dovrà capire come procedere, poiché l’una esclude l’altra.Pertanto, il Titolare dovrà verificare e circoscrivere con precisione l’ambito di applicazione della limitazione, ad esempio quando si contesta l’esattezza di taluni dati, oppure si ritiene quel determinato trattamento illecito, ma si preferisce limitare il trattamento anziché cancellarlo.In conclusione, il Titolare dovrà verificare in concreto a quali dati personali e a quali trattamenti si riferisce l’interessato, analizzando il contesto e se del caso chiedendo chiarimenti all’interessato stesso, così da correttamente gestire tutte le richieste dallo stesso avanzate.
