Il diritto all’oblio è il principio, regolamentato tramite il GDPR dell’Unione Europea, che tutela il diritto dell’individuo a tutelare la propria immagine pubblica, impedendo che informazioni pregiudizievoli che lo riguardano possano essere rese accessibili in modo permanente.
Diritto all’oblio: quadro normativo
Il Diritto all’Oblio è regolato tramite gli articoli 17, 21 e 22 del GDPR. In riferimento alla cancellazione dei dati personali, l’articolo 17 chiarisce le condizioni nelle quali una persona più avvalersi del diritto all’oblio per ottenere la cancellazione dei propri dati da parte del titolare che li ha acquisiti.
Cancellazione dei dati: i casi previsti
I casi in cui viene riconosciuto il diritto alla cancellazione dei dati sono diversi e specificati dall’articolo 17 del GDPR. In particolare, deve sussistere uno dei seguenti motivi:
- Le ragioni per cui i dati sono stati raccolti non sussistono più
- L’interessato ritira il consenso al trattamento dei dati
- L’interessato si oppone al trattamento dei dati
- Viene riscontato un trattamento illecito dei dati
- Nei casi in cui la cancellazione sia prevista come adempimento a un obbligo legale previsto da leggi e/o regolamenti europei a cui il titolare è soggetto
Cancellazione dei dati online: le problematiche tecniche
Una volta accolta la richiesta di cancellazione (una volta accertato che sussistono i presupposti legali) il titolare deve provvedere alla totale cancellazione dei dati in archivio riguardanti il richiedente e oggetto della richiesta. Oggi, però, la diffusione dei dati avviene attraverso modalità molteplici e il dato dell’utente può essere replicato in vari modi, se ad esempio è inserito in un programma gestionale, nel programma di posta, nel portale del provider che gestisce le newsletter. La legge chiarisce che il dato deve essere rimosso ovunque. Ci sono però dei casi in cui questo per legge non è possibile. Se ad esempio l’utente ha fatto un ordine è vi è stata l’emissione di una fattura, non potranno essere cancellati i suoi dati dal sistema gestionale per questioni legali. Tuttavia i suoi dati dovranno essere rimossi dove non servono e non sono più utilizzabili. È possibile inoltre da parte del titolare contattare l’utente esclusivamente per casi legali (ad esempio se c’è stato un errore di fatturazione).
Il modulo per la richiesta di cancellazione, è consigliabile gestirlo tramite un form apposito, in modo da negare tutti i consensi e registrarli agevolmente nella registro dei consensi. Ricordiamo che per registro dei consensi si intende un database in cui il consenso / negazione è registrato in modo da rendere la prova certa ed inequivocabile. L’importanza data dal registro è dovuta alla sua capacità di dimostrare come sono stati raccolti i dati degli utenti e i relativi consensi in modo trasparente e non manipolabile. Di conseguenza, se non si organizza il lavoro nel modo corretto, la cancellazione potrebbe richiedere uno sforzo notevole dal punto di vista tecnico.
La gestione dei dati da parte delle aziende è complessa, anche perché non esiste un protocollo standard applicabile a ogni tipo di ente che tratta i dati personali degli utenti. L’unico modo che hanno le attività commerciali di rendersi al 100% GDPR compliance è effettuare un’analisi della propria fattispecie giuridica ed elaborare un piano operativo per l’esecuzione degli interventi tecnici di adeguamento.
Jits è consulente tecnico e si avvale di un team legale specializzato in GDPR, per rendere il tuo sito e la tua azienda un esempio virtuoso di rispetto delle normative a tutela della privacy dei propri clienti/utenti.
Se vuoi saperne di più, puoi contattarci e richiedere informazioni compilando il form, saremo lieti di rispondere alle tue domande e chiarire i tuoi dubbi!