Esercita i tuoi diritti - Articolo 17 GDPR - Fai cancellare i tuoi dati!

Hai cancellato la tua iscrizione in palestra? O hai cancellato un'app di allenamento sul tuo telefono? Sapevi che quelle palestre o app potrebbero essere obbligate a cancellare i dati che hanno su di te?

Il GDPR ha notevolmente rafforzato i nostri diritti per cancellare i dati personali che sono imprecisi, obsoleti o utilizzati illegalmente. Continua a leggere per scoprire come esercitare il tuo diritto a far cancellare i tuoi dati..

La presente pagina è tradotta in italiano tramite una procedura automatica. Puoi sempre consultare la pagina originale in inglese.

Il tuo diritto all'oblio

Cos'è il diritto alla cancellazione?

Nel GDPR, il diritto alla cancellazione è chiamato anche diritto alla cancellazione, o "diritto all'oblio*". Per questo motivo, i termini "cancellare" e "cancellare" sono spesso usati in modo intercambiabile. Questo diritto riguarda i vostri dati personali trattati da società, organizzazioni e imprese che volete cancellare o eliminare dai loro sistemi.

Si noti che "Il diritto all'oblio" è anche usato a volte per riferirsi a un diritto alla cancellazione.

Mentre i diritti alla cancellazione o alla cancellazione possono essere considerati simili, non sono la stessa cosa. Il diritto alla cancellazione si applica specificamente ai dati personali su di voi che possono essere trovati tramite i motori di ricerca. Per esempio, quando chiedete a Google di cancellare certi risultati che appaiono quando digitate il vostro nome nella barra di ricerca di Google, state esercitando il vostro diritto alla cancellazione. Il vostro diritto alla cancellazione è più ampio, in quanto si applica a tutti i controllori che trattano i vostri dati, non solo ai motori di ricerca.

Passo 1: Identificare a chi inviare la richiesta

Passo 2: Redigere la tua richiesta

Passo 3: Risposta del controllore

Passo 4: Cosa succede se il controllore si rifiuta di cancellare i miei dati?

Quando i controllori devono cancellare i miei dati?

I controllori devono cancellare i tuoi dati in uno dei seguenti casi:

  • L'archiviazione o l'uso dei tuoi dati non è più necessario per gli scopi per cui sono stati originariamente raccolti, e non esiste un nuovo motivo per trattarli o conservarli (ad esempio il tuo abbonamento in palestra è scaduto mesi fa e hai pagato la tua quota di iscrizione in tempo)
  • Il responsabile del trattamento si basa sul tuo consenso per trattare i dati e tu ritiri tale consenso (per sapere come ritirare il tuo consenso, leggi qui),
  • Ti opponi al trattamento dei tuoi dati e non ci sono motivi imperativi per il controllore di continuare a trattarli, o i tuoi dati vengono utilizzati per scopi di marketing diretto (per saperne di più sul diritto di opposizione)
  • Il controllore sta elaborando i tuoi dati illegalmente (ad esempio li sta elaborando senza una base legale o in violazione di uno dei principi di elaborazione dei dati personali);
  • I dati devono essere cancellati per consentire al controllore di rispettare un obbligo legale (ad esempio l'obbligo per una banca di cancellare tutti i dati sui vostri debiti dopo diversi anni);
  • I dati sono stati raccolti in relazione all'offerta di servizi della società dell'informazione (ad esempio i social media o un'app di gioco) sulla base del consenso di un minore (l'età del consenso è 13-16, a seconda del paese dell'UE in cui si vive).

Ci sono eccezioni a questo obbligo di cancellare i miei dati?

Sì, ma il controllore dovrà dimostrare che l'eccezione si applica alle tue circostanze specifiche, cioè non può usare una scusa generica per rifiutare di cancellare i dati

I controllori potrebbero non essere obbligati a cancellare i tuoi dati se si applica una delle seguenti condizioni:

  • Mantenere o utilizzare i dati è necessario per la libertà di espressione o di informazione (ad esempio un giornale ha pubblicato la sua inchiesta online),
  • I dati devono essere trattati per consentire al controllore di rispettare un obbligo legale (ad esempio le leggi fiscali nazionali possono richiedere che alcuni dati personali dei contribuenti siano conservati),
  • I dati devono essere conservati per motivi di salute pubblica (ad esempio i dati dei visitatori sono conservati da un ospedale per evitare la contaminazione da un virus),
  • La cancellazione dei dati "pregiudicherebbe seriamente o renderebbe impossibile" l'elaborazione delle informazioni a fini statistici, storici o scientifici (ad esempio nel caso dell'archiviazione),
  • Mantenere i dati è necessario per intraprendere o rispondere a un reclamo legale (questo dovrebbe essere un reclamo che è già in corso nel momento in cui fai la tua richiesta; questa eccezione non autorizza il controllore a conservare i tuoi dati "solo nel caso" che un giorno sorga un reclamo)

Posso chiedere la cancellazione dei miei dati in tutti i casi?

Esistono alcune eccezioni, a seconda del paese. Le esenzioni più comuni esistono nel campo dell'applicazione della legge e della polizia, della sicurezza nazionale o della tassazione

Il controllore può anche rifiutare la tua richiesta di cancellare i tuoi dati se la richiesta è eccessiva (ad esempio diverse richieste simili sulla stessa questione) o manifestamente infondata (ad esempio con l'intenzione di causare disturbo)

Chi deve cancellare i miei dati personali?

Se fai una richiesta di cancellazione dei tuoi dati personali, è il responsabile del trattamento dei dati (l'organizzazione/ente/amministrazione/azienda che tratta i tuoi dati) che deve prendere le misure appropriate per cancellarli. Il responsabile del trattamento deve anche informare gli altri responsabili del trattamento, gli incaricati del trattamento (se hanno esternalizzato il trattamento a loro), e qualsiasi altro destinatario, che vuoi che i tuoi dati vengano cancellati e che devono essere cancellati.

Come posso ottenere che un responsabile del trattamento cancelli i miei dati?

Passo 1: Identificare a chi inviare la richiesta

Una richiesta di cancellazione dei tuoi dati dovrebbe essere indirizzata al responsabile del trattamento (l'organizzazione/ente/amministrazione/società che elabora i tuoi dati)

Questo può essere fatto via e-mail, lettera, fax o attraverso un modulo, purché tu abbia una registrazione scritta della richiesta. Quando il trattamento è online, i controllori devono fornire modi automatizzati (come un modulo, o un link per opporsi in una e-mail) per opporsi al trattamento dei vostri dati

L'indirizzo e-mail pertinente si trova di solito nella sezione "privacy policy" o "contact us" del sito web del controllore. Generalmente avrà un nome come privacy@company.com o legal@publicauthority.eu. Se questo è difficile da trovare, o se non c'è un indirizzo specifico a cui puoi inviare la tua richiesta, è colpa del responsabile del trattamento, non tua - il GDPR richiede ai responsabili del trattamento di rendere queste informazioni facilmente accessibili. Se non c'è un indirizzo e-mail specifico, puoi usare i dati di contatto generali del controllore.

Fase 2: redigere la tua richiesta

  • Informate il responsabile del trattamento che state chiedendo la cancellazione dei vostri dati e che stai cercando una conferma da parte del responsabile del trattamento che ha interrotto il trattamento. Se ci sono più trattamenti su di voi, specificate quali volete fermare
  • Specificate il vostro nome o altro identificativo utilizzato dal responsabile del trattamento (ad esempio il nome utente di un account)Per aiutare il controllore a indirizzare la tua richiesta in modo più efficiente, includi alcune informazioni che aiuterebbero a identificare il tuo account, come il tuo numero di telefono (se lo hai fornito quando ti sei iscritto), il nome utente o il nome dell'account, o l'indirizzo IP. Questo sarà particolarmente utile se hai un nome e un cognome comuni.
  • Includi la data nel testo se metti la tua richiesta in un allegato all'email o in una lettera. Questo chiarisce il termine del controllore per fornire le informazioni.
  • Menziona nella tua email o lettera:
    • che state chiedendo la cancellazione dei vostri dati immediatamente (potete fare un riferimento esplicito all'articolo 17 GDPR),
    • che state chiedendo una conferma che il responsabile del trattamento abbia cancellato i vostri dati entro un mese dalla vostra richiesta,
    • il motivo o i motivi per cui il controllore è obbligato a cancellare i tuoi dati (vedi la nostra lista di motivi sopra in "quando i controllori devono cancellare i miei dati? Potete includere più di un motivo che spieghi perché il controllore dovrebbe cancellare i vostri dati)
    • che se i dati sono stati divulgati ad altri destinatari, queste parti devono essere informate della vostra richiesta e i dati devono essere cancellati anche dai loro sistemi
  • Specificare come si desidera ricevere le informazioniad esempio elettronicamente, tramite un indirizzo e-mail.
  • Potete chiedere al responsabile del trattamento di confermare che si asterrà dal trattare i dati contestati mentre si occupa della vostra richiesta In tal caso, specificate che volete esercitare il vostro diritto di restrizione dei vostri dati ai sensi dell'articolo 18(1)(d) GDPR

Se preferite, potete anche utilizzare gli strumenti forniti da mydatadoneright.eu. Il loro sistema scriverà e invierà la richiesta di cancellazione per te.

Fase 3: Risposta del controllore

Una volta che il controllore riceve la vostra richiesta, ha un mese di tempo per rispondere e confermare di aver cancellato i vostri dati. Questo periodo può essere esteso solo una volta per un massimo di altri due mesi, in caso di richieste complesse o multiple

Il responsabile del trattamento può chiedervi informazioni aggiuntive per confermare la vostra identità in caso di dubbio. Tuttavia, tale richiesta dovrebbe essere limitata alle informazioni aggiuntive necessarie per confermare chi siete. Le informazioni aggiuntive non possono essere sproporzionate, avendo considerato il contesto del trattamento dei vostri dati (ad esempio un negozio che vi chiede una copia del vostro passaporto per cambiare l'indirizzo di una carta fedeltà sarebbe sproporzionato)

In generale, questa risposta dovrebbe essere fornita per iscritto, ma può essere comunicata tramite mezzi elettronici come l'e-mail, o può essere fornita oralmente se lo si richiede.

Passo 4: Cosa succede se il controllore si rifiuta di cancellare i miei dati?

Un responsabile del trattamento può rispondere alla tua richiesta dicendo che ha deciso di non cancellare alcuni o tutti i dati che hai chiesto di cancellare. Se lo fa, deve spiegarne il motivo e dimostrare nella sua spiegazione come una delle eccezioni si applichi al suo caso particolare (vedi spiegazioni sopra). Il controllore non può rifiutarsi di cancellare i dati per qualsiasi altro motivo, né può darvi una risposta generica e generica

Se il controllore:

  • rifiuta la tua richiesta senza una spiegazione soddisfacente,
  • cerca di farvi pagare ingiustificatamente la vostra richiesta,
  • non:
    • limita il trattamento mentre gestisce la tua richiesta (se l'hai chiesto tu),
    • risponde dopo un mese (o un periodo esteso di massimo 3 mesi),

avete il diritto di presentare un reclamo presso un'autorità per la protezione dei dati (ad esempio l'autorità per la protezione dei dati del luogo in cui vivete o lavorate), e il responsabile del trattamento dovrebbe informarvi al riguardo

Se avete bisogno di assistenza per valutare gli elementi legali della risposta di un controllore, potete contattarci a info@noyb.eu per discutere di ulteriori passi.

Torna a Esercitare i tuoi diritti