EDPB: criticità nell’attuazione del diritto alla cancellazione

EDPB: criticità nell’attuazione del diritto alla cancellazione

Un report del Comitato europeo per la protezione dei dati sulle attività di enforcement coordinato relative all’art. 17 GDPR e sulle evidenze emerse in materia di esercizio del diritto alla cancellazione.

Bruxelles, 18 febbraio - Il Comitato europeo per la protezione dei dati (EDPB) ha adottato una  relazione sull'azione intrapresa nell'ambito del Quadro di applicazione coordinata (CEF) in merito al diritto all'oblio (art. 17 GDPR) . Il  Comitato ha scelto questo tema  in quanto è uno dei diritti previsti dal GDPR più frequentemente esercitati e uno di quelli su cui le autorità di protezione dei dati ricevono più spesso reclami da parte degli interessati.

Gli obiettivi principali di questa azione coordinata sono garantire che il diritto alla cancellazione sia effettivamente esercitato dagli individui in Europa e comprendere come i titolari del trattamento rispettino tale diritto nella pratica. Inoltre, il Comitato europeo per la protezione dei dati (EDPB) ha individuato le buone prassi e le principali sfide correlate, al fine di fornire ulteriori orientamenti in materia. 

Nel corso del 2025, 32 autorità di protezione dei dati (DPA) in tutta Europa hanno partecipato a questa iniziativa. Nello specifico, 9 DPA hanno avviato nuove indagini formali o hanno proseguito quelle in corso, mentre 23 DPA hanno svolto un'attività di accertamento dei fatti. Hanno risposto all'iniziativa un totale di 764 titolari del trattamento in tutta Europa, dalle piccole e medie imprese (PMI) alle grandi aziende operanti in diversi settori e ambiti, nonché a varie tipologie di enti pubblici.

I risultati di queste azioni nazionali sono stati aggregati e analizzati congiuntamente, consentendo un follow-up mirato sia a livello nazionale che a livello europeo.

Aree di miglioramento e principali sfide

Il rapporto elenca le problematiche individuate, insieme a una serie di raccomandazioni rivolte ai titolari del trattamento, per aiutarli ad attuare il diritto alla cancellazione.

Le autorità di protezione dei dati (DPA) hanno individuato sette principali sfide ricorrenti . I risultati hanno confermato alcune delle conclusioni dell'azione coordinata del 2024 sul diritto di accesso , ad esempio per quanto riguarda la mancanza di procedure interne adeguate per la gestione delle richieste o la mancanza di informazioni sufficienti fornite agli interessati. Inoltre, le DPA partecipanti hanno segnalato specifici riscontri relativi al ricorso, da parte di alcuni titolari del trattamento, a tecniche di anonimizzazione inefficienti per gestire le richieste di cancellazione in alternativa alla cancellazione definitiva. Le DPA hanno anche rilevato pratiche incoerenti e le difficoltà incontrate dai titolari del trattamento in merito alla determinazione dei periodi di conservazione e alla cancellazione dei dati personali nel contesto dei backup.

Inoltre, poiché il diritto alla cancellazione non è un diritto assoluto, alcuni titolari del trattamento incontrano difficoltà nella valutazione e nell'applicazione delle condizioni per l'esercizio di tale diritto, anche nell'effettuare i diversi test di bilanciamento tra il diritto alla cancellazione e altri diritti e libertà.

Attività di follow-up per aiutare le organizzazioni a conformarsi 

A livello nazionale esistono numerose linee guida, documenti e modelli per aiutare i titolari del trattamento a conformarsi al diritto alla cancellazione e gli interessati a esercitare tale diritto. In linea con gli obiettivi della Dichiarazione di Helsinki di semplificare la conformità al GDPR e garantire un'interpretazione e un'applicazione coerenti in tutta Europa, le ampie linee guida e i modelli già disponibili a livello nazionale saranno utilizzati, ove opportuno, anche a livello dell'EDPB.

Premesse e prossimi passi

Il CEF è un'azione chiave dell'EDPB nell'ambito della sua strategia 2024-2027 , volta a semplificare l'applicazione delle norme e la cooperazione tra le autorità di protezione dei dati. 

Nel 2023, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato la relazione sulla sua prima azione coordinata sull'utilizzo  dei servizi cloud da parte del settore pubblico .

Nel 2024, il Comitato europeo per la protezione dei dati (EDPB) ha inoltre pubblicato la relazione sull'esito della seconda azione coordinata relativa alla  designazione e alla posizione dei responsabili della protezione dei dati .

Nel 2025, l'EDPB ha pubblicato la relazione sulla sua terza azione di coordinamento in materia diattuazione del diritto di accesso .

L'azione del CEF 2026 verterà sugli  obblighi di trasparenza e informazione previsti dal GDPR .

Licenza Creative Commons