Dati personali e diritto all’oblio: l’ultimo rapporto dell’EDPB

Nel mese di febbraio lo European Data Protection Board (EDPB) ha diffuso un nuovo rapporto in tema di cancellazione dei dati personali, noto in italiano come “diritto all’oblio”.

Il tema era stato eletto in qualità di focus per il 2025 del Coordinated Enforcement Framework (CEF), nato allo scopo di supportare i singoli Stati nell’applicare uniformemente le norme comunitarie.

Per il 2026, la scelta è invece ricaduta sullo stato della compliance nazionale rispetto agli obblighi di trasparenza e informazione previsti dal GDPR.

Il diritto all’oblio secondo l’art. 17 del GDPR

Il diritto alla cancellazione dei propri dati personali (in inglese “right to erasure” o “right to be forgotten”) è uno dei più attivamente esercitati nello spazio normativo dell’Unione.

Da qui – coerentemente con gli scopi della Dichiarazione di Helsinki – la scelta dell’EDPB di dedicargli un intero anno d’indagine, coinvolgendo 32 Autorità nazionali di protezione dati nella valutazione dello stato attuativo di tale diritto fondamentale e nell’individuazione di buone pratiche in sua tutela.

Secondo l’art. 17 del GDPR, l’esercizio del diritto all’oblio richiede le seguenti condizioni:

1. a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati;
   b) l’interessato revoca il consenso su cui si basa il trattamento […] e non sussiste altro fondamento giuridico per il trattamento;
   c) l’interessato si oppone al trattamento […] e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
   d) i dati personali sono stati trattati illecitamente;
   e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
   f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1 [in tema di consenso dei minori al trattamento dei propri dati personali].

Al ricorrere di tali condizioni il titolare del trattamento, “se ha reso pubblici dati personali ed è obbligato a cancellarli, […] adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali”.

Fanno eccezione le ipotesi previste dal paragrafo 3 dell’art. 17, che esclude la cancellazione dei dati necessari per una serie di utilizzi; tra cui l’esercizio del diritto alla libertà di espressione e informazione, l’adempimento di un obbligo giuridico, la difesa di un diritto in sede giudiziaria o altri motivi di pubblico interesse.

I contenuti del rapporto: criticità e buone pratiche in tema di cancellazione dei dati

Il rapporto EDPB menziona 764 titolari del trattamento che hanno partecipato alla rilevazione in tutta Europa: 431 enti pubblici e 325 soggetti privati (di cui il 54% grandi imprese e il resto PMI), oltre a 8 enti di altra natura.

Tra le 32 Autorità nazionali coinvolte 9 hanno avviato (o portato avanti, se già in corso) un’analisi formale sul diritto alla cancellazione, mentre le restanti 23 hanno condotto un’indagine conoscitiva.

A emergere come spunti critici sono, in primo luogo, la mancanza di adeguate procedure interne per gestire le richieste e la scarsità di informazioni fornite agli interessati.

Per rispondere a queste sfide l’EDPB raccomanda la formazione continua del personale, l’utilizzo di canali multimodali (come email o app) per la comunicazione con i cittadini e lo sviluppo di modelli ready-to-use per gestire le richieste, apprezzando il crescente impiego di KPI per monitorarne tempi ed esiti finali.

In seguito all’accoglienza di istanze per la rimozione, diverse Autorità hanno poi riscontrato il ricorso a tecniche di anonimizzazione inefficienti usato in alternativa alla cancellazione, nonché la frequente difficoltà dei titolari nel garantire che questa avesse incluso anche il contesto dei backup. Un’ulteriore criticità riscontrata riguarda la difficoltà di molti titolari, soprattutto di piccole dimensioni, nel definire e implementare periodi di conservazione adeguati per le diverse attività di trattamento.

Al riguardo il Comitato invita ad adottare strumenti automatizzati per la cancellazione dei dati dai sistemi aziendali, riconoscendo come buona pratica l’implementazione di standard tecnici quali ISO/IEC 27001 o ISO 9001 – già in uso tra diversi titolari del trattamento – per migliorare la gestione dei processi e garantire una maggiore accountability.

Infine, alcuni Garanti hanno riferito le difficoltà connesse al bilanciamento tra diritto alla cancellazione e ulteriori libertà riconosciute dalle normative nazionali ed europee.

Come ribadito nel rapporto, infatti, il diritto all’oblio non è assoluto; secondo lo stesso art. 17 GDPR, può incontrare eccezioni rappresentate dall’esercizio di altri diritti, dall’adempimento di obblighi giuridici o da motivi di pubblico interesse, rendendo talvolta arduo il compito di chi è chiamato a compiere tale bilanciamento di valori.

Anche alla luce di simili difficoltà, scegliendo di approfondire portata e limiti del diritto alla cancellazione dei dati, l’EDPB procede nella missione di specificare lo stato attuativo del complesso quadro giuridico europeo a tutela delle informazioni personali.

Digital Omnibus, il parere congiunto EDPB-EDPS

Proprio a fronte di tale complessità, nel novembre 2025 è stato presentato il cosiddetto “Digital Omnibus Package”, che non ha mancato di suscitare reazioni ambivalenti tra le istituzioni europee.

Nelle parole della Commissione UE, la proposta di regolamento “comprende una serie di modifiche tecniche a un ampio corpus di legislazione digitale, selezionate per fornire un aiuto immediato alle imprese, alle pubbliche amministrazioni e ai cittadini e per stimolare la competitività”.

Al riguardo EDPB ed EDPS (European Data Protection Supervisor) hanno manifestato, in un parere congiunto, “preoccupazioni significative” per il rischio che la riforma – nel nome della semplificazione – porti ad abbassare gli standard attualmente esistenti, indebolendo i diritti individuali dei cittadini.

In particolare viene contestata, anche da numerose associazioni per i diritti digitali, la nuova nozione di “dato personale”.

Nell’approccio annunciato dal Digital Omnibus, infatti, un dato è ritenuto personale solo qualora il titolare del trattamento possa “ragionevolmente” identificarne il titolare in base alle informazioni di cui dispone in concreto: la natura dei dati dipenderebbe così dal contesto d’uso, rimpiazzando i criteri oggettivi del GDPR con una valutazione soggettiva che (secondo i critici) limiterebbe eccessivamente la portata delle tutele.

Tuttavia, altre misure proposte dalla Commissione sono state accolte con favore: ad esempio in tema di valutazione d’impatto e notifiche degli incidenti, dove è ormai unanime la richiesta di velocizzare e facilitare gli adempimenti operativi richiesti a imprese ed enti pubblici attivi nello spazio digitale comunitario.

Infine, pur condividendo l’ipotesi di una specifica deroga al divieto di trattare dati sensibili nell’ambito dei sistemi o modelli di intelligenza artificiale, EDPB ed EDPS chiedono che l’ambito di tale deroga sia chiaramente definito e che le relative garanzie interessino tutto il ciclo di vita dei modelli stessi.

Pur nell’obiettivo condiviso di armonizzare i livelli di tutela e semplificare il quadro normativo in materia di dati personali, i Garanti europei continuano quindi a sottolineare che la privacy dei cittadini – storico pilastro della normativa comunitaria – non va mai ritenuta sacrificabile.

Come ha sintetizzato la presidente dell’EDPB, “La semplificazione è essenziale per ridurre la burocrazia e rafforzare la competitività dell’UE: ma non a scapito dei diritti fondamentali”.