Il diritto all’oblio è il diritto dell’interessato a ottenere la cancellazione dei propri dati personali senza ingiustificato ritardo, nei casi elencati dall’art. 17 GDPR: dati non più necessari, consenso revocato, opposizione accolta, trattamento illecito. Non è un diritto assoluto: cede di fronte alla libertà di informazione, agli obblighi legali di conservazione e all’esercizio di diritti in giudizio (art. 17, par. 3). Il titolare deve rispondere entro un mese. Questa guida spiega presupposti, eccezioni, deindicizzazione dai motori di ricerca e la procedura operativa per gestire una richiesta.
Key Takeaways
- L’art. 17 GDPR riconosce il diritto alla cancellazione in sei ipotesi tassative (par. 1).
- Non è assoluto: le eccezioni del par. 3 comprendono libertà di espressione, obblighi legali e difesa in giudizio.
- La deindicizzazione da Google è un profilo distinto: rimuove il risultato dalla ricerca, non il contenuto dalla fonte.
- Il titolare deve rispondere entro un mese, prorogabile di due (art. 12, par. 3).
- Se i dati sono stati resi pubblici, scatta l’obbligo di informare gli altri titolari (art. 17, par. 2).
Quando scatta il diritto alla cancellazione
L’art. 17, par. 1 elenca i presupposti. Il titolare deve cancellare quando:
- i dati non sono più necessari rispetto alle finalità per cui erano stati raccolti;
- l’interessato revoca il consenso e non esiste altra base giuridica;
- l’interessato si oppone al trattamento (art. 21) e non prevalgono motivi legittimi cogenti;
- i dati sono stati trattati illecitamente;
- la cancellazione è necessaria per adempiere un obbligo legale;
- i dati riguardano l’offerta di servizi a minori raccolti tramite consenso.
La cancellazione è il naturale corollario del principio di limitazione della conservazione: quando il tempo di conservazione è scaduto, i dati vanno rimossi anche senza richiesta.
Le eccezioni: quando l’oblio cede
Il diritto non è illimitato. L’art. 17, par. 3 individua i casi in cui il titolare non deve cancellare, perché il trattamento resta necessario:
| Eccezione | Esempio |
|---|---|
| Libertà di espressione e informazione | Archivio giornalistico |
| Obbligo legale di conservazione | Scritture contabili (10 anni) |
| Interesse pubblico nel settore sanitario | Registri di sanità pubblica |
| Archiviazione, ricerca, statistica | Ricerca storica |
| Accertamento/difesa di un diritto in giudizio | Documenti per un contenzioso |
L’esempio più frequente in azienda è la conservazione fiscale: i documenti contabili vanno tenuti dieci anni (art. 2220 c.c.), quindi una richiesta di cancellazione dei dati di fatturazione va respinta con motivazione fino allo scadere del termine. Il rifiuto, però, deve essere sempre motivato e comunicato all’interessato.
Deindicizzazione: l’oblio “su Google”
Nel linguaggio comune “diritto all’oblio” evoca la rimozione di un risultato di ricerca. È un profilo distinto dalla cancellazione presso il titolare del sito: la deindicizzazione opera sul motore di ricerca, che agisce a sua volta come titolare. Il principio nasce dalla sentenza Google Spain della Corte di giustizia UE (C-131/12, 13 maggio 2014) e in Italia è stato più volte precisato dalla Corte di Cassazione.
La deindicizzazione rimuove il collegamento tra il nome della persona e la pagina nei risultati di ricerca, ma non cancella il contenuto alla fonte. Va bilanciata con l’interesse pubblico a conoscere: per personaggi pubblici o fatti di attualità recente prevale spesso il diritto di cronaca.
Una specificità italiana merita menzione: l’art. 64-ter delle disposizioni di attuazione del codice di procedura penale, introdotto dalla riforma Cartabia (2022), riconosce a chi è stato assolto o prosciolto un diritto alla deindicizzazione dei contenuti che lo collegano al procedimento.
La procedura di risposta per il titolare
Ricevuta una richiesta, il titolare deve muoversi con metodo. La gestione operativa è simile a quella del diritto di accesso.
- Identificare il richiedente (senza chiedere dati eccessivi).
- Verificare i presupposti dell’art. 17, par. 1 e l’assenza di eccezioni del par. 3.
- Cancellare i dati da tutti i sistemi, backup inclusi secondo una politica documentata.
- Informare i responsabili e, se i dati erano pubblici, gli altri titolari (art. 17, par. 2).
- Rispondere entro un mese, prorogabile di due per richieste complesse (art. 12, par. 3).
Il termine di un mese è perentorio: l’inerzia è tra le violazioni che il Garante sanziona con maggiore frequenza nel registro dei provvedimenti. Chi gestisce molte richieste trova utile una procedura standardizzata e tracciabile; è una delle funzioni che una piattaforma come Legiscope automatizza, registrando ogni richiesta, la valutazione e la risposta.
Cancellazione, rettifica e portabilità: diritti da non confondere
Il diritto alla cancellazione fa parte del pacchetto di diritti degli interessati (artt. 15-22 GDPR) e va tenuto distinto da quelli vicini. La richiesta di accesso (art. 15) consente di sapere quali dati il titolare tratta; la rettifica (art. 16) corregge dati inesatti; la portabilità dei dati (art. 20) consente di ricevere i propri dati in formato strutturato per trasferirli a un altro titolare. Sono diritti spesso esercitati insieme — l’utente che chiede la portabilità può, subito dopo, chiedere la cancellazione — e vanno gestiti con la stessa procedura tracciata.
Un errore comune è trattare la cancellazione come una semplice “eliminazione dal database”. In realtà il titolare deve rimuovere i dati da tutti i sistemi: ambienti di produzione, copie di backup (secondo una politica di rotazione documentata), log applicativi, sistemi dei responsabili e sub-responsabili. La nomina dei responsabili ex art. 28 deve prevedere l’obbligo del fornitore di eseguire la cancellazione a fronte della richiesta del titolare.
L’oblio come esito naturale della retention
La gestione più matura del diritto all’oblio non è reattiva ma proattiva: se i tempi di conservazione sono definiti e rispettati, la maggior parte dei dati viene cancellata automaticamente allo scadere del termine, riducendo il numero di richieste da gestire. Questo è il collegamento con l’accountability: una politica di conservazione documentata nel registro dei trattamenti e riflessa nell’informativa privacy dimostra al Garante che il titolare governa il ciclo di vita dei dati. In sede di controllo, la differenza tra un’organizzazione conforme e una sanzionabile spesso non sta nella gestione della singola richiesta, ma nell’esistenza di un processo sistematico che rende la cancellazione la regola, non l’eccezione. Investire nella retention automatica, insomma, riduce a monte il carico delle richieste di oblio e il rischio di rispondere in ritardo.
FAQ
Il diritto all’oblio è assoluto?
No. L’art. 17, par. 3 GDPR prevede eccezioni: libertà di espressione e informazione, obblighi legali di conservazione, interesse pubblico sanitario, archiviazione e ricerca, esercizio o difesa di un diritto in giudizio. In questi casi il titolare rifiuta la cancellazione con motivazione.
Cancellazione e deindicizzazione sono la stessa cosa?
No. La cancellazione rimuove i dati presso il titolare che li tratta; la deindicizzazione agisce sul motore di ricerca, che elimina il collegamento tra il nome e la pagina nei risultati senza cancellare il contenuto alla fonte. Sono due richieste distinte, rivolte a soggetti diversi.
Entro quanto devo rispondere a una richiesta di cancellazione?
Entro un mese dalla ricezione (art. 12, par. 3 GDPR). Il termine è prorogabile di ulteriori due mesi per richieste particolarmente complesse, informando l’interessato del rinvio e dei motivi entro il primo mese.
Posso rifiutare la cancellazione dei dati contabili?
Sì. I documenti contabili vanno conservati dieci anni (art. 2220 c.c.): la cancellazione dei relativi dati va respinta, con motivazione, fino allo scadere dell’obbligo di legge. È l’applicazione dell’eccezione “obbligo legale” dell’art. 17, par. 3, lett. b.
Vedi anche: un modello di riscontro alla richiesta di accesso, adattabile anche alle richieste di cancellazione.
Fonti ufficiali: il testo del GDPR su EUR-Lex, il Garante per la protezione dei dati personali e gli orientamenti dello European Data Protection Board.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial