[GDPR] Diritto all'Oblio: quando si applica e quando no

+39 055 43 03 52

Uno dei principi più complessi nel Regolamento Europeo per la Protezione dei Dati (GDPR) è il cosiddetto "dritto all'oblio". Il concetto, almeno in superficie, è semplice: una persona può richiedere la rimozione dei dati personali che la identificano al data controller ai quali li ha forniti. In breve il diritto ad essere "dimenticati".

Il problema è che, in un mondo di dati connessi nel quale le informazioni sono condivise tra server, persone, Stati ecc.. il diritto all'oblio diventa una regolamentazione complessa con la quale molte imprese si stanno confrontando soltanto dopo la scadenza del termine ultimo per l'adempimento al GDPR.

Al di là degli aspetti morali e filosofici del diritto all'oblio, in questo articolo ci concentreremo sul dettagliare questo diritto e spiegare dove e quando vada applicato.

Il ruolo dei dati personali

Il primo punto da tenere a mente è che il diritto all'oblio NON E' un diritto assoluto: il diritto alla cancellazione dei dati o a essere dimenticati vale ovviamente per tutti gli individui, ma diviene diritto esigibile per coloro che soddisfano determinati requisiti.

Come specificato dall'art 17 del GDPR:

"L'interessato ha il diritto di ottenere dal data controller la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il responsabile del trattamento ha l'obbligo di procedere a cancellare i dati personali senza indebito ritardo qualora si applichi uno dei seguenti motivi:

3. i dati personali non sono più necessari in relazione alle finalità per i quali erano stati raccolti e/o processati;
4. l'interessato ha ritirato il consenso su cui si basa il trattamento, in conformità agli art.6, paragrafo 1, lettera A) e art.9 paragrafo 2, lettera A) e laddove non vi siano altri motivi giuridici per il trattamento;
5. l'interessato si oppone al trattamento ai sensi dell'art.21 paragrafo 1 e non sussiste alcun motivo legittimo per il trattamento, oppure l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2;
6. i dati personali sono stati trattati illecitamente;
7. i dati personali devono essere cancellati per rispetto di un obbligo giuridico nel diritto dell'Unione Europea o dello Stato membro cui è soggetto il responsabile del trattamento;
8. i dati personali sono stati raccolti in relazione all'offerta di servizi di cui riferisce l'art.8 paragrafo 1."

I criteri da soddisfare

Quanto premesso rende chiaro perchè un individuo non possa richiedere senza valida ragione l'applicazione del diritto all'oblio. Questo può avvenire in caso siano soddisfatti precisi requisiti - ad esempio quando non è più necessario mantenere quei dati rispetto alle finalità denunciate al momento della prestazione del consenso e della loro raccolta. Questo è un criterio molto importante, che le aziende devono tenere bene a mente quando ricevono richieste di oblio.

Inoltre, lo stesso articolo chiarisce che le imprese non sono obbligate a soddisfare la richiesta di oblio nei seguenti casi:

in caso di esercizio della libertà di espressione o informazione;
per rispetto di obblighi legali;
per prioritario pubblico interesse o salute pubblica;
per scopi di archiviazione nell'interesse pubblico (si pensi a ricerca scientifica o storica o per finalità statistiche);
per l'istruzione, l'esercizio, la difesa di rivendicazioni legali.

Per concludere, le imprese devono rispettare i requisiti del GDPR, tra i quali c'è anche il diritto all'oblio, ma devono anche tenere di conto delle specifiche fornite dai vari comma. Per questo, ricordiamo che il GDPR è qualcosa di più di una semplice conformità di sicurezza: al contrario è un regolamento che ha sia conseguenze legali che sociali.

Ultime news

Per saperne di più

Malware per il mining di Criptovaluta: tutto ciò che è utile sapere sui miner di Bitcoin

08 aprile 2021

Gli occhi di tutto il mondo sono puntati sui Bitcoin ora che la valutazione di questa criptovaluta ha toccato il massimo storico. ...

Per saperne di più

Zloader: l'evoluzione della catena di infezione

29 marzo 2021

Zloader, conosciuto anche come Terdot, è una variante del famigerato trojan bancario Zeus, molto conosciuto per l'uso assai aggres...

Per saperne di più

MassLogger: lo spyware e keylogger emergente diffuso in Italia con campagne email

04 marzo 2021

Da qualche mese il CERT-AgID denuncia la diffusione in Italia di un nuovo malware chiamato MassLogger: è distribuito tramite campa...

	Global
	Italy
	Japan
	Poland
	LATAM

	Global
	Italy
	Japan
	Poland
	LATAM

Malware per il mining di Criptovaluta: tutto ciò che è utile sapere sui miner di Bitcoin

Zloader: l'evoluzione della catena di infezione

MassLogger: lo spyware e keylogger emergente diffuso in Italia con campagne email

Supporto

Risorse

Chi siamo

PROTEZIONE ENDPOINT E DATI

SICUREZZA GATEWAY

PROTEZIONE SERVER

09 aprile 2019[GDPR] Diritto all'Oblio: quando si applica e quando no

Ultime news

Malware per il mining di Criptovaluta: tutto ciò che è utile sapere sui miner di Bitcoin

Zloader: l'evoluzione della catena di infezione

MassLogger: lo spyware e keylogger emergente diffuso in Italia con campagne email

Supporto

Risorse

Chi siamo

09 aprile 2019
[GDPR] Diritto all'Oblio: quando si applica e quando no