Dobbiamo sempre cancellare i dati personali se una persona lo richiede?

Risposta

Il regolamento generale sulla protezione dei dati conferisce alle persone il diritto di chiedere la cancellazione dei loro dati e le organizzazioni hanno l’obbligo di farlo, tranne che nei seguenti casi:

• i dati personali di cui la tua azienda/organizzazione dispone servono per esercitare il diritto alla libertà di espressione;
• esiste un obbligo giuridico di conservare tali dati;
• per motivi di interesse pubblico (ad esempio sanità pubblica, scopi di ricerca scientifica, statistica o storica).

Se la tua azienda/organizzazione ha trattato dati in modo illecito, deve cancellarli. Nel caso di una persona, i dati raccolti quando era ancora minorenne devono essere cancellati. Lo stesso vale per una richiesta da parte di una persona nel caso in cui tu abbia raccolto i suoi dati personali quando era ancora minorenne.

Per quanto riguarda il «diritto all’oblio» online, le organizzazioni sono tenute ad adottare misure ragionevoli (ad esempio, misure tecniche) per informare altri siti web che una determinata persona ha richiesto la cancellazione dei propri dati personali.

Si possono conservare anche dati che sono stati sottoposti a un adeguato processo di anonimizzazione.

Esempi

Non è necessario cancellare i dati

La tua azienda/organizzazione gestisce un giornale online e uno dei tuoi giornalisti pubblica un articolo su come un politico ha riciclato denaro in banche off-shore. Il politico ti chiede di rimuovere l’articolo perché sono stati trattati i suoi dati personali. Dato che stai utilizzando i dati personali per esercitare il diritto alla libertà di espressione, in linea di principio la tua azienda/organizzazione non è obbligata a cancellare tali dati. Tuttavia, ciò dipenderà dalla legislazione nazionale in vigore.

È necessario cancellare i dati

La tua azienda/organizzazione gestisce una piattaforma di social media e un minore carica delle foto; alcuni anni dopo ritiene che tali foto potrebbero danneggiare le sue prospettive di carriera. Dato che la persona era minorenne al momento del caricamento, è necessario cancellare tali foto. Inoltre, se le foto sono state trattate su altri siti web, la tua azienda/organizzazione deve  prendere misure ragionevoli per informarli che è stata presentata una richiesta di cancellare le foto.

Riferimenti

• Articolo 17; Considerando 65 e 66 del GDPR
• Gruppo di lavoro ex articolo 29 - Linee guida sull'attuazione della sentenza della Corte di giustizia dell’Unione europea su «Google Spain and inc v. Agencia Española de Protección de Datos (AEPD) e Mario Costeja González» c-131/121 (WP 225)

Data do not have to be deleted

Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is,  in principle, not obliged to delete such data. However, this will depend on the national legislation in place.

Data have to be deleted

Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.

• Article 17 and Recitals (65) and (66) of the GDPR
• Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1

1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.