Richiesta Cancellazione Dati GDPR Azienda: Guida Completa 2026
La cancellazione dei dati personali è un diritto fondamentale riconosciuto a ogni cittadino dell'Unione Europea dal Regolamento UE 679/2016 (GDPR). Questa guida illustra come esercitare il diritto all'oblio presso un'azienda, i tempi di risposta obbligatori e le azioni da intraprendere in caso di inadempienza.
Normativa di Riferimento
Regolamento UE 679/2016 (GDPR)
Il GDPR fornisce la base normativa principale per la protezione dei dati personali nell'UE. Gli articoli di riferimento sono:
- Articolo 15: Diritto di accesso ai dati personali
- Articolo 16: Diritto di rettifica dei dati inesatti
- Articolo 17: Diritto all'oblio e cancellazione dei dati
- Articolo 18: Diritto a limitare il trattamento
- Articolo 20: Diritto alla portabilità dei dati
- Articolo 21: Diritto di opposizione
- Articolo 22: Diritti relativi ai processi decisionali automatizzati
Decreto Legislativo 196/2003 (Codice Privacy)
Il Codice Privacy italiano, aggiornato al 2026, integra il GDPR con disposizioni specifiche per il territorio nazionale. Disciplina le modalità di esercizio dei diritti dell'interessato e le responsabilità del Titolare del trattamento.
Digital Services Act (DSA)
Il DSA, entrato in vigore progressivamente dal 2024, impone maggiori obblighi di trasparenza alle piattaforme digitali e facilita l'esercizio dei diritti degli utenti online.
Direttiva ePrivacy 2002/58/CE
Disciplina la protezione della vita privata nel settore delle telecomunicazioni e dei servizi elettronici, integrando il GDPR con disposizioni specifiche su cookie e tracciamento.
Il Diritto all'Oblio (Articolo 17 GDPR)
L'articolo 17 del GDPR riconosce il diritto di cancellazione, comunemente chiamato "diritto all'oblio". L'interessato può richiedere al Titolare di cancellare i propri dati personali quando ricorrono specifiche condizioni:
- I dati non sono più necessari rispetto alle finalità di raccolta
- L'interessato ritira il consenso al trattamento
- Si oppone al trattamento senza motivi legittimi
- I dati sono stati trattati illecitamente
- Sussiste un obbligo legale di cancellazione
- I dati sono stati raccolti per servizi della società dell'informazione
Il Titolare deve cancellare i dati entro 30 giorni dalla ricezione della richiesta, estendibili a 90 giorni per richieste complesse.
Procedura Passo-Passo per Richiedere la Cancellazione
Passo 1: Identificare il Titolare del Trattamento
Consulta l'Informativa sulla Privacy dell'azienda (solitamente nella sezione "Privacy" del sito web) per identificare il Titolare del trattamento e contatti dell'Ufficio Privacy o del Data Protection Officer (DPO).
Passo 2: Preparare la Richiesta Scritta
La richiesta deve essere scritta e contenere: dati anagrafici completi, descrizione chiara dei dati da cancellare, motivazione della richiesta, copia di un documento di identità, data e firma digitale.
Passo 3: Inviare la Richiesta
Invia la richiesta tramite:
- Email certificata (PEC) all'indirizzo privacy@azienda.it
- Portale dedicato dell'azienda (se disponibile)
- Raccomandata A/R presso il domicilio del Titolare
- Modulo online present nel sito aziendale
Passo 4: Conservare la Documentazione
Mantieni copia di tutto: richiesta originale, ricevuta di invio, data di trasmissione. Questi documenti sono essenziali in caso di controversia.
Passo 5: Monitorare la Risposta
Il Titolare deve rispondere entro 30 giorni (termine estendibile a 90 giorni per richieste complesse). La risposta deve confermare l'avvenuta cancellazione o motivare il eventuale rifiuto.
Termini di Risposta Obbligatori
Secondo l'articolo 12 GDPR, il Titolare deve:
- Rispondere entro 30 giorni dalla ricezione della richiesta
- Estendere il termine a 60 giorni aggiuntivi per richieste particolarmente complesse o numerose
- Comunicare i motivi dell'estensione entro 30 giorni
- Informare l'interessato delle modalità di ricorso contro la decisione
- Fornire risposta gratuita (eccetto costi eccessivi di duplicazione)
Silenzio = Rifiuto implicito: Se il Titolare non risponde entro i termini, è considerato un rifiuto della richiesta.
Diritto di Portabilità dei Dati (Articolo 20 GDPR)
Oltre alla cancellazione, hai diritto di ricevere i tuoi dati in formato strutturato, comune e leggibile da macchina (es. CSV, JSON). Puoi: