Home Articoli Diritto all’oblio, questo sconosciuto

Diritto all’oblio, questo sconosciuto

Diritto all'oblio
Cancellazione di dati personali

Che cosa si intende con richiesta di cancellazione?

Immagina per un secondo di essere seduto alla tua scrivania e ricevere una e-mail contenente una richiesta di “cancellazione” basata sull‘articolo 17 del GDPR (Regolamento UE 2016/679) “Il diritto alla cancellazione” anche conosciuto come il diritto all’oblio. Cosa significa? Significa che dall’altra parte c’è una persona che ti sta chiedendo di cancellare ogni istanza delle sue informazioni personali che hai memorizzato all’interno della tua organizzazione, fino all’ultima cifra.

Diritto all’oblio: una richiesta da assecondare

Tale richiesta, oltre a dover essere assecondata, deve anche essere completata senza indugio e a costo zero per il richiedente. Questo aspetto della normativa europea per la protezione dei dati richiede alle aziende di cancellare tutte le informazioni di identificazione personale che sono archiviate in file, database, eventuali workstation che potrebbero aver utilizzato (se il richiedente era un ex dipendente), cloud storage, backup, file copiati, stampe cartacee…. Tutto quanto! 

Ma c’è di più. Come organizzazione, devi essere in grado di dimostrare di aver eliminato tutti questi file e se hai mai condiviso i loro dettagli con una terza parte, è tua responsabilità contattarli per istruirli sulla richiesta di cancellazione.

Sicuramente la gestione di questo diritto ha diverse implicazione. La prima è relativa al “chi si occupa di tutto questo nella mia organizzazione?” L’amministrazione? Il legal? Il reparto IT? L’esperienza ci dice che deve esistere un processo, interno all’organizzazione, che definisce chi si occupa di cosa quando si ricevono richiesta di esercizio dei diritti degli interessati.

GDPR e trattamento dei dati personali

L’articolo 17 del GDPR prevede il diritto alla cancellazione, più comunemente denominato diritto all’oblio. Questo diritto consente agli “interessati” di revocare il proprio consenso al trattamento dei dati personali. Obbliga inoltre il Titolare del trattamento dei dati a cancellarli qualora i dati personali non siano più necessari allo scopo per cui sono stati raccolti o se si scopre che i dati sono stati trattati illecitamente. Il diritto all’oblio è un mezzo importante per i clienti interessati alla privacy per limitare la propria impronta digitale, eliminare i dati errati o fuorvianti e mitigare i rischi personali di violazione dei dati nelle organizzazioni.

Un titolare del trattamento che ha reso pubblici i dati personali di un utente e riceve una richiesta valida di cancellazione deve adottare misure ragionevoli, in base alla tecnologia e ai costi, per informare i Titolari del trattamento che elaborano i dati che è stata richiesta la cancellazione di eventuali copie degli stessi o link ai dati personali.

Leggi anche: Trattamenti di dati personali con algoritmi di Intelligenza Artificiale e DPO

Come gestire le richieste degli stakeholders

Il GDPR non indica una modalità specifica con cui un individuo deve esercitare questo diritto per cui è importante esser pronti a gestire le richieste dei propri stakeholders nel modo opportuno magari predisponendo dei form e guidare il processo in qualità di Titolare e formare i propri dipendenti al riguardo.

Chi è esente dall’applicare il diritto all’oblio?

Il diritto alla cancellazione però non è illimitato. In generale, ci sono tre categorie che esentano un’organizzazione che altrimenti dovrebbe cancellare le informazioni personali di un interessato ai sensi dell’articolo 17 del GDPR:

Giornalismo e arti

Il diritto all’oblio non si applica se il trattamento è necessario per l’esercizio del diritto alla libertà di espressione e di informazione. In altre parole, il diritto alla cancellazione non richiede limitazione all’uso delle informazioni a fini giornalistici e a fini di espressione accademica, artistica o letteraria.

Obblighi legali o reclami legali

Il GDPR prevede due eccezioni al diritto all’oblio in relazione a problemi legali. L’articolo 17, paragrafo 3, lettera b), consente alle organizzazioni di conservare dati personali altrimenti soggetti a cancellazione se un obbligo legale stabilito dalla legge richiede il trattamento. L’articolo 17, paragrafo 3, lettera e), consente inoltre la conservazione dei dati personali se è necessaria per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Tuttavia, è possibile adempiere all’obbligo legale o stabilire la pretesa o la difesa legale e cancellare le informazioni, quindi l’eccezione potrebbe non essere sufficientemente ampia da essere applicata.

Compiti di interesse pubblico

Ci sono tre casi specificatamente enumerati nelle eccezioni all’articolo 17 che riguardano elementi relativi all’interesse pubblico. L’art.17, par.3, lett. b), riguarda l’esecuzione di un compito svolto nell’interesse pubblico, l’art.17, par.3, lett. c), copre motivi di salute pubblica ai sensi dell’art.9 e l’art.17, par.3, lett. d), riguarda Art. 89 trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica, nella misura in cui il diritto alla cancellazione dei dati personali è idoneo a rendere impossibile o gravemente pregiudicato il conseguimento delle finalità del trattamento stesso.

Cosa fare se la richiesta di cancellazione non viene presa in carico

Se un Titolare non può o non ha intenzione di dar seguito a una richiesta di cancellazione dei dati personali di un individuo, è necessario informare la persona sui motivi per cui la cancellazione non si verificherà, a lui rimarrà il diritto di presentare reclamo all’autorità di controllo e il diritto di procedere con altre azioni giudiziarie.

Sei un imprenditore digitale e sei interessato a creare un business di successo? Non perderti l’11° edizione di EcommerceDay ! Il 29 e 30 settembre si terranno, a Torino ed Online, due giornate di alta formazione in cui verranno approfondite tematiche relative a privacy, GDPR, trattamento dei dati personali, sicurezza informatica e molto altro sul mondo ecommerce.

Per diventare speaker dell’evento clicca qui, per diventare partner qui.

CONSULTA IL SITO DI ECOMMERCEDAY

Articolo precedenteIl conflitto aziendale e saper negoziare bene
Prossimo articoloLa guida per l’e-commerce SEO
CEO & Business Consultant in FinData, Mario Arcella è un esperto di Compliance e Project Management. Socio di diverse startup e proprio la sua passione per la Sicurezza delle Informazioni l’ha portato a fondare FinData, una “Solution Company” che basa il valore di ciò che propone sui vantaggi che il cliente ottiene al termine dei progetti. Ha lavorato per ben 21 anni presso Ericsson come Project Manager. La sua citazione preferita è “tutte le cose sono difficili prima di diventare facili”, di John Norley. Cino Wang Platania è CSO & Business Consultant in FinData. Il marketing è stato il pilastro fondante della sua cultura professionale. Per primo, il marketing turistico per il quale è ancora docente in alcuni master, poi quello ICT per il quale ha amministrato una software house per 12 anni. Ora si occupa di data management, appunto per FinData, aiutando gli imprenditori a rendere sicuro il loro asset più importante dopo il capitale umano e quello finanziario.