Il regolamento generale europeo sulla protezione dei dati (GDPR) ha rafforzato i diritti dei cittadini. Questi includono il diritto alla cancellazione dei dati personali, noto anche come "diritto all'oblio". Ma come può essere esercitato in pratica?
Il diritto all'oblio significa che gli interessati possono richiedere al responsabile del trattamento la cancellazione dei loro dati personali. L'articolo 17 del GDPR elenca i motivi per cui gli interessati possono invocare questo diritto. I più importanti sono:
- Omissione dello scopo della memorizzazione: un principio centrale del GDPR afferma che ogni memorizzazione e trattamento dei dati personali deve essere collegato a uno scopo. Questo significa anche che non appena lo scopo non esiste più, i dati non possono più essere conservati.
- Revoca del consenso: Il consenso della persona interessata è considerato una base possibile per il trattamento dei dati personali. Se questo viene ritirato, tutti i dati per i quali è stato originariamente dato il consenso devono essere cancellati, a meno che non ci sia un'altra base legale per il trattamento dei dati. La revoca non pregiudica la liceità del trattamento già effettuato.
- Trattamento illegale: se il trattamento dei dati era illegale fin dall'inizio, l'interessato può chiedere la cancellazione dei dati personali senza indugio.
Il GDPR elenca ulteriori motivi che consentono la cancellazione dei dati. Questi includono il caso in cui un'azienda ha trattato i dati senza il consenso attivo della persona interessata a causa di un "interesse legittimo". Questo non è illegale di per sé - il GDPR riconosce il concetto di "interesse legittimo". Tuttavia, se la persona interessata vi si oppone, i dati devono essere cancellati a meno che non esista un'altra base legale.
Quando una richiesta di cancellazione ha senso
Una richiesta di cancellazione può avere diversi motivi. Un diritto importante del GDPR è il diritto di accesso, secondo il quale ogni persona può scoprire quali dati un'azienda o un'autorità ha memorizzato su di lei. Se tali informazioni rivelano che i dati sono stati conservati illegalmente, una richiesta di cancellazione ha senso.
Il caso più comune nella pratica è probabilmente la cessazione di un certo programma o servizio. Se tale cessazione non conferma automaticamente la cancellazione dei dati memorizzati, è consigliabile utilizzare attivamente il diritto alla cancellazione.
È meglio presentare una richiesta di cancellazione per iscritto
In linea di principio, una richiesta di cancellazione non richiede una forma specifica. Tuttavia, per ragioni di documentazione e per poterlo provare in seguito, la forma scritta è molto adatta per una richiesta di cancellazione - sia classicamente per posta che anche per e-mail. Non c'è bisogno di fornire ragioni dettagliate; una riga è sufficiente per una richiesta di cancellazione. Tuttavia, alcuni dati possono essere utili per la richiesta.
- Nome, indirizzo, compleanno, indirizzo e-mail: L'azienda deve assicurarsi che la richiesta provenga effettivamente dall'interessato e non da una terza persona. Pertanto, l'interessato deve inviare con calma quei dati che l'azienda ha già e che possono aiutare l'identificazione.
- Nessun nuovo dato: Tuttavia, se l'azienda non conosce nemmeno certi dati - come la data di nascita o l'indirizzo e-mail - non è nemmeno utile allegarli alla richiesta di cancellazione. Dopo tutto, l'azienda non dovrebbe avere più dati dopo di quelli che aveva prima.
Se volete essere sicuri, potete anche nominare specificamente i dati personali da cancellare nella vostra lettera - ma questo non deve essere necessariamente il caso. È anche possibile richiedere la cancellazione di alcuni o di tutti i dati personali. Un esempio del secondo caso potrebbe essere un indirizzo errato, mentre altri dati potrebbero continuare ad essere conservati.
Un semplice esempio di formulazione per una richiesta di cancellazione segue immediatamente sotto - qui, il richiedente deve solo aggiungere i dati tra le parentesi quadre:
Campione per una richiesta di cancellazione
Indirizzo del destinatario
Indirizzo del mittente [luogo], il [data]
Richiesta di cancellazione secondo l'Art. 17 DSGVO
Signore o signora,
con questa lettera disdico la mia partecipazione al [inserire programma] e chiedo la cancellazione del mio conto cliente con il numero cliente [inserire numero cliente]. Chiedo la cancellazione immediata di tutti i miei dati in conformità con l'art. 17 DSGVO.
Si prega di fornirmi una conferma delle misure richieste.
La ringrazio molto e la saluto
[Firma]
Passi successivi alla richiesta di cancellazione
Ma cosa succede se l'azienda ignora semplicemente la richiesta? In questo caso, si mette automaticamente in torto, perché una reazione entro un mese è richiesta dalla legge.
A seconda di quanto il richiedente si preoccupa della questione, può ricordare all'azienda la sua richiesta alcune volte. Se anche questo fallisce, l'unica opzione è quella di presentare un reclamo all'autorità di vigilanza competente. In Germania esiste un complesso sistema di autorità per la protezione dei dati, ma ogni cittadino può rivolgersi alla sua autorità statale locale senza preoccuparsi.
Ora, in pratica, anche se la richiesta di cancellazione ha successo, i dati dei social network possono essersi diffusi altrove su internet. Quindi gli interessati devono successivamente chiedere di nuovo ad ogni singolo operatore di pagina di cancellare gli stessi dati? No, perché il controllore originale che ha pubblicato i dati deve lavorare per la cancellazione in tutta la catena di trattamento dei dati.
Autotest: quanto è facile cancellare davvero i dati
La carta è nota per essere paziente. Quindi l'ancora giovane diritto all'oblio del GDPR si applica davvero? DataGuard, fornitore di soluzioni per la protezione dei dati, lo ha provato. Dai servizi online ai programmi di punti bonus ai negozi su internet: Circa una dozzina di account di clienti reali, non più necessari, sono stati cancellati via e-mail o modulo di contatto con un semplice one-liner. I risultati sono incoraggianti:
- Tutte le richieste di cancellazione sono state effettivamente risposte entro il termine previsto di un mese - non ci sono state richieste di verifica dell'identità.
- Nessuna delle aziende richieste ha rifiutato la cancellazione - per la quale, tuttavia, non ci sarebbe stata alcuna base legale anche dopo la fine del rapporto contrattuale.
- Una piccola goccia di amarezza: non tutte le aziende hanno dato un termine concreto per la cancellazione. Un'azienda che ha descritto la sua routine di cancellazione e ha spiegato perché, per motivi tecnici, la cancellazione può avvenire solo in sei settimane, può essere evidenziata positivamente in termini di trasparenza.
Nel complesso, tutte le organizzazioni a cui abbiamo scritto erano fortunatamente conformi al GDPR. Naturalmente, la cancellazione non può essere controllata fisicamente in questo modo. Chiunque abbia dei dubbi sul fatto che la cancellazione stia realmente avvenendo potrebbe, per esempio, presentare un'altra richiesta di informazioni ai sensi del GDPR all'azienda un anno dopo e chiedere se i dati personali che lo riguardano vengono trattati. Se poi l'azienda dichiara di avere ancora dei dati immagazzinati, evidentemente c'è qualcosa che non va.
Come le aziende dovrebbero procedere con una richiesta di cancellazione
Fino a questo punto, le richieste di cancellazione sono state considerate dalla prospettiva degli interessati. Ora guarderemo la prospettiva dell'azienda: Qual è la reazione ideale a una richiesta di cancellazione? Prima di tutto, bisogna notare che la legge non fornisce linee guida precise sul "come" della cancellazione. Oltre all'articolo 17 del GDPR, i principi del trattamento dei dati formulati nell'articolo 5 del regolamento sono rilevanti per l'orientamento.
Prima di una cancellazione, la richiesta deve essere controllata. La seguente lista di domande può aiutare:
- La richiesta è legittima? Il primo passo qui è verificare l'identità della persona che ha fatto una richiesta di cancellazione. Se ci sono ragionevoli dubbi, l'azienda dovrebbe richiedere ulteriori informazioni.
- C'è un obbligo di cancellazione? La risposta alla domanda non è facile. Il diritto alla cancellazione può essere contrastato da obblighi di conservazione dei dati - per esempio, per motivi fiscali o nel caso di cartelle cliniche presso i medici.
Se entrambe le domande hanno avuto una risposta positiva, le aziende sono obbligate a cancellare i dati "senza ritardo" secondo il GDPR. Cosa significa questo in pratica? Un concetto di cancellazione professionale si adatta bene. Immediato" va quindi inteso nel senso che le imprese non ritardano colpevolmente la cancellazione nel quadro dei loro processi tecnici e organizzativi abituali.
Ma è anche generalmente riconosciuto che, per ragioni tecniche, non tutte le cancellazioni funzionano con un clic del mouse. Questo vale, per esempio, per i back-up, dove la cancellazione può richiedere mesi. Tuttavia, la seguente scadenza gioca un ruolo importante: se i dati sono già stati cancellati, se il processo di cancellazione è in corso o se ci sono ragioni contro la cancellazione: Le aziende devono informare il richiedente delle misure adottate entro un mese, gratuitamente.
Eccezioni alla cancellazione dei dati
Il GDPR formula diversi motivi che possono essere sollevati contro una richiesta di cancellazione dei dati personali. Questi includono il diritto alla libertà di espressione e di informazione, gli obblighi legali che richiedono il trattamento, come i documenti fiscali o le cartelle cliniche, gli interessi pubblici o l'affermazione, l'esercizio o la difesa di diritti legali.
Questo spesso comporta decisioni di bilanciamento in casi individuali. Per esempio, la Corte federale di giustizia (BGH) ha respinto una richiesta di cancellazione contro il fornitore di motori di ricerca Google. Qui, l'ex direttore generale di un'associazione di beneficenza aveva voluto lavorare per non collegare più le notizie negative per lui a una ricerca del suo nome. Al contrario, il BGH ha stabilito che l'interesse pubblico nella segnalazione superava questo.
Conclusione
Il diritto alla cancellazione è una delle conquiste più importanti del GDPR. Richiede una certa dose di fiducia - dopo tutto, nell'era dell'informazione, chi può davvero sapere con certezza se l'ultima copia di backup di un set di dati è stata cancellata? Tuttavia, il piccolo test dimostra che il regolamento è efficace. Essere "dimenticati" è un diritto di ogni cittadino.
Informazioni sull'autore
