Il diritto alla cancellazione (Art. 17 GDPR) rappresenta uno dei diritti privacy più esercitati e una delle principali fonti di reclamo in Europa.
Dietro a questo maggiore numero di doglianze si cela una problematica strutturale che affligge molte organizzazioni.
Vi sono determinate prescrizioni all’interno della normativa privacy che risultano intrinsecamente più difficili da attuare poiché non si esauriscono in meri adempimenti formali o organizzativi, ma presuppongono un significativo intervento sui sistemi informativi. Compilare un’informativa o redigere un documento di policy è un’operazione statica e documentale; intervenire sull’architettura dei dati richiede invece uno sforzo tecnico ed economico di ben altra portata.
Il GDPR, ponendosi come normativa centrale e trasversale sui flussi informativi, contiene numerosi esempi di questi adempimenti “strutturali” che richiedono soluzioni avanzate:
- Privacy by design e by default: La norma impone che le garanzie a tutela dei dati siano integrate fin dalla fase iniziale di progettazione dei software e dei processi (by design) e che i sistemi siano configurati per trattare di default solo i dati strettamente necessari per le finalità specifiche (by default). Questo richiede di ripensare il modo in cui i database e le interfacce vengono costruiti, impedendo raccolte massive ingiustificate.
- Valutazione del rischio e azioni di mitigazione: Il titolare non può limitarsi a dichiarare la sicurezza dei dati, ma deve implementare soluzioni tecnologiche concrete e adeguate allo “stato dell’arte”, come la pseudonimizzazione, la cifratura e meccanismi che garantiscano su base permanente la resilienza dei sistemi.
- Gestione dei data breach: Essere in grado di notificare tempestivamente una violazione dei dati presuppone l’esistenza a monte di sistemi di monitoraggio e di log capaci di rilevare automaticamente intrusioni, accessi anomali o esfiltrazioni di dati.
- Limitazione dei periodi di conservazione (Data Retention): Applicare questo principio significa dotare i sistemi informatici di automatismi (come script o procedure di sovrascrittura) in grado di procedere alla cancellazione o anonimizzazione sicura dei dati una volta decorso il periodo di tempo predefinito, senza lasciare il compito all’intervento manuale degli operatori. L’utilizzo dello stesso set di dati per diverse finalità complica ulteriormente la soluzione.
A fronte di queste complessità, si impone una considerazione finale ineludibile: gli impegni organizzativi, tecnologici e finanziari necessari per rispondere adeguatamente a queste prescrizioni richiedono necessariamente il coinvolgimento e il forte committmentdel vertice aziendale sin dalle prime fasi di progettazione. Il principio di accountability (responsabilizzazione) implica che solo un management pienamente consapevole possa stanziare gli investimenti necessari per trasformare la protezione dei dati da mero ostacolo burocratico a reale governo e sicurezza del patrimonio informativo aziendale.
In tale complesso scenario tecnico – di cui si potrebbero fare numerosi altri esempi – si inserisce l’adeguamento operativo all’esercizio del diritto di cancellazione.
Il 10 febbraio 2026, il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato i risultati della sua quarta azione coordinata (CEF), svoltasi nel 2025, che ha coinvolto 32 Autorità di controllo – tra cui il Garante italiano – e 764 titolari del trattamento.
Per un’analisi di dettaglio dell’istituto del CEF al fine dell’applicazione e della cooperazione tra le autorità di supervisione si rinvia all’Alert del 15 febbraio 2024.
In merito all’esito dell’indagine, sebbene il 54% del campione fosse costituito da grandi imprese, le Autorità hanno valutato il livello generale di conformità solo come “medio”, evidenziando gravi lacune pratiche. Le criticità spaziano dall’assenza di procedure interne, alla confusione tra cancellazione dell’account e cancellazione dei dati, fino all’incapacità tecnica di gestire i backup e all’uso di tecniche di anonimizzazione inefficaci.
L’azione ha portato all’avvio di indagini formali da parte di nove Autorità, sottolineando un rischio sanzionatorio concreto per chi non dispone di solidi processi di accountability documentati.
La conformità agli obblighi di trasparenza e informazione (Artt. 12, 13 e 14 GDPR) sarà il tema centrale della prossima azione coordinata (CEF) prevista per il 2026.
Ambito di indagine
Sono stati analizzati 764 titolari (431 enti pubblici e 325 privati) in tutto lo Spazio Economico Europeo (SEE).
I settori più rappresentati sono stati Pubblica Amministrazione, Sanità, Istruzione, Finanza e Retail.
Un dato rilevante emerso dall’indagine è che circa il 42% dei titolari intervistati tratta dati di minori e un ulteriore 42% processa dati di soggetti vulnerabili (es. anziani, richiedenti asilo, persone con disabilità).
Esiti
Nonostante quanto si potrebbe a prima vista ipotizzare, nonché malgrado la maggiore dimensione delle aziende intervistate, le richieste di cancellazione ricevute in un anno sono meno di 10 per una significativa maggioranza di circa il 70% dei titolari.
Quanto ai riscontri, le Autorità hanno rilevato che i titolari tendono ad avere approcci polarizzati: o accolgono quasi tutte le richieste, oppure ne rigettano oltre il 50%, sollevando dubbi sull’uso sistematico e non valutato delle eccezioni di legge.
Il livello di compliance è stato ritenuto “medio”.
È emerso che le aziende del settore privato e le organizzazioni di grandi dimensioni presentano procedure interne più strutturate, linee guida più chiare e una migliore formazione rispetto agli enti pubblici.
