Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il report

EDPB, diritto alla cancellazione: tra risultati positivi e sfide molteplici

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

L’EDPB fa il punto sulla piena applicazione del diritto alla cancellazione previsto dall’art. 17 del GDPR. È il frutto del lavoro svolto su uno dei diritti più esercitati e maggiormente “reclamati”, da più Authority Privacy, compreso il nostro Garante, all’interno del Coordinated Enforcement Framework (CEF). Ecco le principali sfide

Pubblicato il 23 feb 2026
Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

EDPB e verifica dell'età; EDPB, diritto alla cancellazione: tra risultati positivi e sfide molteplici

Una trentina di Garanti europei ha reso noto, nel report rilasciato dall’European Data Protection Board (EDPB), tutte le sfide del diritto alla cancellazione per una piena attuazione.

L’obiettivo è quello di garantire che il diritto alla cancellazione sia effettivamente esercitato dai cittadini europei, valutando per conseguenza in che modo i titolari del trattamento lo applicano nella pratica.

Tutela della privacy nell’era dell’IA: dall’EDPB un prezioso orientamento normativo

EDPB, il report sul diritto alla cancellazione: le sfide per la piena applicazione

Grazie a quanto adottato dall’EDPB lo scorso 18 febbraio 2026 e cioè un report sull’azione del suo Coordinated Enforcement Framework (CEF) sul diritto alla cancellazione (ex art. 17 GDPR), veniamo a scoprire come uno dei diritti del Regolamento Ue sulla protezione dei dati maggiormente esercitati, secondo le statistiche/ricorrenze, come il diritto alla cancellazione (art. 17 GDPR) trova attuazione in concreto.

Il rapporto elenca principalmente le problematiche individuate sulla scorta di
quell’altro report frutto dell’azione coordinata (nel 2024) sul diritto di accesso (art. 15 GDPR).

Tra i risultati positivi: livello di compliance “medio – alto”

Fra i fiori all’occhiello spicca l’evidenza sul più in generale livello di conformità e quindi di compliance emergendo come quasi due/terzi delle Autorità di supervisione (SA) che hanno partecipato a questo tavolo di confronto, hanno potuto “testimoniare” come il livello di conformità possa definirsi complessivamente “medio-alto”.

Tra sfide e azioni di miglioramento

Tra le sfide e le azioni di miglioramento diversi sono i fattori da prendere in
considerazione per i quali, circa gli approfondimenti del caso, rimandiamo direttamente al report.

In ogni caso, le Autorità hanno riscontrato che tra le azioni di miglioramento occorre potenziare o epurare i seguenti punti:

  • la formazione quasi assente o inadeguata;
  • l’abuso e l’incertezza giuridica in ordine alle eccezioni che rifiutano le richieste di cancellazione;
  • le difficoltà nella definizione e implementazione dei periodi di conservazione dei dati, altro nervo spinoso e scoperto;
  • la cancellazione dei dati in caso di backup;
  • la difficoltà nella tecnica di anonimizzazione per rispondere alle richieste di cancellazione.

Il focus: procedure interne assenti

Soffermiamoci più diffusamente sull’assenza di “procedure interne” ovvero poco robuste o male implementate.

Evidentemente questo tipo di carenza significa accountability debole in astratto e fatica di gestione delle richieste in concreto con il rischio che le stesse vengano gestite non in modo oggettivo, secondo criteri uniformi e valevoli per tutti.

In questo caso il rischio è proprio quello di gestire la richiesta soggettivamente e in modo non coerente.

Il tutto nasce però dalla considerazione per la quale si tratta di un diritto (quello alla cancellazione) che non può dirsi “assoluto”, ma da verificarsi di volta in volta nella misura in cui “da un lato, i soggetti interessati possano fare affidamento su una delle condizioni applicabili per esercitare il loro diritto (art. 17 GDPR) e, dall’altro, qualora una delle eccezioni si applichi al negare (totalmente o parzialmente) la richiesta di cancellazione (art. 17 GDPR)”, così si legge nel report.

Come mitigare i rischi

Al fine di mitigare tale rischio, ecco che una procedura interna, uniforme e valevole per tutte le richieste di questo tipo, agevolerebbe di molto specie sui criteri che i team coinvolti dovrebbero/dovranno applicare uniformemente nella valutazione delle richieste di cancellazione.

Quindi, non si deve dimenticare che le difficoltà riscontrate da alcuni titolari
nell’identificare i dati personali rientranti nell’ambito delle richieste di cancellazione.

Si tratta questa di una sfida assai simile a quella individuata sul diritto di accesso, e annessa mancanza di consapevolezza, attese le difficoltà associate all’assenza di un processo strutturato volto altresì a mappare i dati personali rilevanti.

Le azioni da mettere in atto e le raccomandazioni per l’EDPB sul diritto alla cancellazione

Così l’EDPB, grazie all’evidenze di cui al report in parola, suggerisce alcune azioni tra cui continuare a:

  • sviluppare modelli pronti all’uso per i titolari onde rispondere alle richieste di cancellazione nei diversi casi d’uso (ad esempio nel caso in cui la richiesta venga accettata o respinta);
  • sviluppare linee guida e pubblicizzare quelle esistenti al fine di aiutare i titolari a gestire internamente le richieste di cancellazione, con una frequenza suggerita per una revisione regolare della procedura;
  • sensibilizzare sull’ambito delle richieste di cancellazione e sulla distinzione tra il diritto di cancellazione e per esempio la cancellazione di un account di un utente.

Le raccomandazioni dell’EDPB

L’EDPB sempre tramite questo report fornisce anche delle raccomandazioni, tra cui:

  • stabilire e aggiornare procedure interne con scadenze e passaggi chiari, e allocare le responsabilità tra i diversi attori al fine di gestire/registrare le richieste di cancellazione;
  • mappare i dati personali e le località di archiviazione onde avere una panoramica chiara di quali dati personali rientrano nell’ambito e dove cercare al ricevimento di una richiesta di cancellazione;
  • sviluppare codici di condotta, ai sensi e per gli effetti di cui all’art. 40 GDPR, al fine di identificare procedure standardizzate circa l’applicazione efficace del diritto alla cancellazione.

Le buone pratiche

Da ultimo, l’EDPB suggerisce alcune best practice, come:

  • coinvolgere un team responsabile delle richieste di cancellazione (ad esempio il team legale), coordinandosi se necessario con gli altri team;
  • utilizzare dei software/sistemi in cui i record vengano generati automaticamente come prova di cancellazione allorché venga concessa e istruita una richiesta di cancellazione;
  • utilizzare Indicatori Chiave di Prestazione (KPI) per monitorare la gestione delle richieste di cancellazione, come la percentuale di richieste risposte entro un mese o tre mesi (in caso di proroga);
  • presentare i rapporti KPI alla direzione per la valutazione e il miglioramento del processo;
  • definire i termini tecnici e legali più significativi del diritto alla cancellazione in un linguaggio quotidiano e comprensibili ai membri dello staff.

I prossimi passi

Le azioni coordinate come questa sono preziose in quanto svolgono un’azione chiave specialmente nell’ambito delle strategie ambite 2024-2027, volta a semplificare l’applicazione e la cooperazione tra le varie Autorità di protezione dati.

Se nel 2023, l’EDPB ha pubblicato il rapporto sulla sua prima azione coordinata sull’uso dei servizi basati su cloud da parte del settore pubblico, nel 2024, ha invece pubblicato la relazione sui risultati della seconda azione coordinata sulla designazione e la posizione dei responsabili della protezione dei dati.

Così nel 2025, l’EDPB si è potuto dedicare alla relazione sulla sua terza azione di coordinamento sull’attuazione del diritto di accesso.

Di qui, l’anno in corso (2026) con particolare attenzione agli obblighi di trasparenza e informazione previsti dal General Data Protection Regulation.

Cosa serve

Da questo report emerge una carenza/assenza di un plesso procedurale interno, robusto e sostanzioso. Se infatti fosse disponibile, agevolerebbe fortemente l’applicazione del diritto di cancellazione.

Inoltre occorre registrare anche una fatica concreta di ricorrere a “tecniche di anonimizzazione” efficaci ed efficienti.

Ciò va di pari passo con le ulteriori difficoltà nel determinare un congruo e coerente periodo di conservazione dei dati e quindi la loro cancellazione nel contesto dei backup.

Il tutto dipinto in quadro dallo sfondo sfumato in quanto il diritto alla cancellazione non può diversi annoverabile tra i “diritti assoluti”, il che complica ulteriormente la questione in punto bilanciamento di interessi, rispetto agli altri diritti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Aggiornamenti Microsoft Patch Tuesday

  • update

    Patch Tuesday febbraio 2026: 59 bug corretti, sei zero-day e un segnale chiaro per i CISO

    11 Feb 2026

    di Paolo Tarsitano

    Condividi
  • AI Act Digital Omnibus EDPB EDPS

  • intelligenza artificiale

    AI Act e Digital Omnibus: EDPB e EDPS frenano sulla semplificazione a scapito dei diritti

    22 Gen 2026

    di Rosario Palumbo

    Condividi
  • OP_Eastwood_map.JPG

  • takedown

    Operazione Eastwood contro NoName057(16): così l'Europa ha fermato gli attacchi DDoS pro-russi

    16 Lug 2025

    di Dario Fadda

    Condividi
  • Vulnerabilità critiche GeoServer

  • patch urgente

    Vulnerabilità in GeoServer: un rischio sistemico per le infrastrutture critiche

    23 Dic 2025

    di Alessia Valentini

    Condividi
0
Lascia un commento, la tua opinione conta.x