Nel 2025, il Diritto alla cancellazione ai sensi dell'art. 17 GDPR al centro di una revisione a livello europeo da parte delle autorità di controllo della protezione dei dati. Nell'ambito del Quadro di applicazione coordinata (CEF) del Comitato europeo per la protezione dei dati (EDPB), le aziende e gli enti pubblici saranno messi alla prova. È quindi urgente che i responsabili del trattamento dei dati si preparino strategicamente a eventuali misure di controllo nell'ambito dell'azione 2025 del CEF.
Qual è l'obiettivo dell'Azione CEF 2025?
L'azione 2025 del CEF mira a promuovere l'attuazione standardizzata ed efficace del diritto alla cancellazione ai sensi dell'art. 17 del GDPR in tutta l'UE. L'attenzione si concentra sulla questione se e come i responsabili del trattamento dei dati attuano nella pratica questo diritto fondamentale degli interessati. L'iniziativa di audit coordinato non serve solo a monitorare, ma anche a scambiare esperienze tra le autorità di controllo e a sensibilizzare le aziende e gli enti pubblici sui requisiti di protezione dei dati.
La scelta dell'argomento "diritto alla cancellazione" per il 2025 è particolarmente rilevante, in quanto si tratta di uno dei diritti più frequentemente rivendicati dagli interessati e rappresenta anche una sfida operativa significativa per i responsabili del trattamento. Non si tratta solo di rispondere alle richieste di cancellazione, ma anche di ancorare strutturalmente i processi di cancellazione nei sistemi informatici, nei flussi di lavoro e nelle strutture di conformità. Ciò implica un'analisi della misura in cui i responsabili
- Elaborare le richieste di cancellazione in modo corretto ed efficiente,
- Applicare correttamente le eccezioni alla richiesta di cancellazione,
- implementare sistematicamente i concetti di estinzione interna,
- e informare le persone interessate in modo trasparente.
Le autorità di controllo della protezione dei dati partecipanti utilizzano questionari standardizzati in tutta Europa per ottenere risultati comparabili. Questi possono essere integrati da interviste approfondite, analisi di documenti o audit in loco. L'obiettivo è riassumere i risultati degli audit, identificare le debolezze sistematiche e, se necessario, sviluppare raccomandazioni o linee guida per i responsabili.
I risultati vengono analizzati e pubblicati a livello centrale.
Diritto alla cancellazione ai sensi dell'art. 17 e dell'art. 19 GDPR
Il diritto alla cancellazione è Art. 17 GDPR ed è uno dei diritti fondamentali degli interessati. Esso obbliga il responsabile del trattamento a cancellare immediatamente i dati personali a determinate condizioni.
- 17 par. 1 GDPR specifica i requisiti materiali per il diritto alla cancellazione. Questi includono, in particolare, la cessazione delle finalità (i dati non sono più necessari per le finalità originarie), la revoca del consenso, l'opposizione al trattamento ai sensi dell'art. 21 GDPR, il trattamento illecito o gli obblighi di cancellazione previsti dalla legge.
- 17 par. 3 GDPR regola le eccezioni al diritto alla cancellazione. Queste includono gli obblighi di conservazione previsti dalla legge, gli interessi pubblici prevalenti, le finalità di archiviazione nel pubblico interesse e l'affermazione, l'esercizio o la difesa di diritti legali. In pratica, queste eccezioni devono essere attentamente verificate e documentate per poter resistere a un controllo di vigilanza.
- 19 GDPR obbliga inoltre i responsabili del trattamento a informare della cancellazione tutti i destinatari a cui sono stati comunicati i dati personali, a meno che ciò non risulti impossibile o comporti uno sforzo sproporzionato. L'obbligo di informazione contribuisce a garantire la portata del diritto alla cancellazione anche nel caso di trasferimenti di dati.
Un aspetto che spesso viene sottovalutato è lo stretto legame con la Diritto di opposizione ai sensi dell'art. 21 GDPRsoprattutto in relazione alla pubblicità diretta. Un'obiezione ammissibile spesso conduce direttamente a un diritto alla cancellazione, il che significa che entrambi i diritti devono essere considerati e attuati insieme nella pratica.
Rilevanza dell'Azione 2025 del CEF per le imprese e le autorità
L'Azione 2025 del CEF pone delle sfide alle aziende e agli enti pubblici, soprattutto se trattano regolarmente dati personali. Quasi tutti i settori sono interessati: dalla sanità ai fornitori di servizi finanziari e assicurativi, fino ai fornitori di e-commerce e alle autorità pubbliche. Anche gli studi legali hanno già ricevuto i questionari.
Un fattore di rischio è la mancanza o l'inadeguata attuazione di processi di cancellazione sistematici. Sebbene molte organizzazioni abbiano politiche che menzionano il diritto alla cancellazione, non riescono ad attuarle nella pratica. I sistemi spesso non sono in grado di cancellare completamente i dati o non ci sono chiare responsabilità per l'elaborazione delle richieste di cancellazione. Inoltre, le eccezioni previste dall'art. 17 par. 3 del GDPR, come i periodi di conservazione previsti dalla legge o gli interessi legittimi, non sono adeguatamente documentate o sono applicate in modo troppo ampio.
Inoltre, le organizzazioni sono sempre più obbligate a dimostrare agli interessati e alle autorità di controllo che le richieste di cancellazione sono state elaborate in modo tempestivo, comprensibile e conforme alla protezione dei dati. Le autorità chiedono specificamente queste prove nell'ambito dell'Azione 2025 del CEF. Ciò riguarda sia i processi interni che la cooperazione con i fornitori di servizi e gli incaricati del trattamento esterni.
Suggerimento di lettura: La gestione integrata del rischio nella pratica - combinare protezione dei dati, conformità e sicurezza
Sette raccomandazioni strategiche per la preparazione
- Verificare la capacità di cancellazione: I responsabili devono effettuare un inventario sistematico di tutti i sistemi di elaborazione dei dati. Deve essere chiaramente documentato dove sono conservati i dati e se possono essere completamente cancellati, anche nel contesto dei backup o dei servizi cloud.
- Definire il concetto di cancellazione e le scadenze: Un concetto di cancellazione interna deve stabilire chiaramente quali dati personali devono essere cancellati e quando. Si deve tenere conto degli obblighi di conservazione previsti dalla legge (ad es. HGB, AO, SGB) e dei requisiti specifici del settore.
- Aggiornare il registro delle attività di trattamento (VVT): Il VVT deve contenere informazioni sui periodi di conservazione e cancellazione, sulle finalità del trattamento e sulle responsabilità. Serve come documento di verifica centrale nell'ambito dell'audit CEF.
- Garantire la trasparenza nei confronti degli interessati: Le dichiarazioni sulla protezione dei dati devono spiegare chiaramente il diritto alla cancellazione. Allo stesso tempo, dovrebbe essere stabilito un processo strutturato per l'elaborazione delle richieste, compresi modelli di risposta standardizzati, anche per i rifiuti in casi eccezionali.
- Chiarire la formazione e le responsabilità: I dipendenti che svolgono funzioni rilevanti per la protezione dei dati, in particolare i settori IT, HR e customer service, dovrebbero ricevere una formazione regolare. Le responsabilità e i percorsi di escalation per le richieste di cancellazione devono essere chiaramente regolamentati internamente.
- Controllare i contratti con i responsabili del trattamento: I contratti di trattamento dei dati devono contenere norme chiare sulla cancellazione dei dati, soprattutto dopo la fine del contratto. Inoltre, è necessario assicurarsi che gli stessi responsabili del trattamento siano obbligati a cancellare completamente i dati e possano documentarlo.
- Preparazione alle richieste di informazioni da parte delle autorità: si raccomanda un coordinamento interno tempestivo con i responsabili della protezione dei dati e i responsabili della conformità. È necessario definire un punto di contatto centrale per le richieste di informazioni sulla protezione dei dati, in grado di rispondere rapidamente in caso di audit CEF.
Domande tipiche sull'Azione 2025 del CEF e sull'autocontrollo
Il Commissario di Stato per la protezione dei dati e la libertà di informazione del Baden-Württemberg ha messo online il questionario per la campagna europea sul diritto alla cancellazione. Le domande tipiche sono:
- "In che modo la vostra organizzazione valuta che i dati personali (oggetto di una richiesta di cancellazione) non sono più necessari per le finalità per cui sono stati raccolti o altrimenti trattati (art. 17 (1) (a) GDPR)?"
- "Cosa fa la vostra organizzazione se l'interessato ritira il proprio consenso (art. 17 (1) (b) GDPR)?".
- "Come procede la vostra organizzazione se l'interessato si oppone al trattamento (art. 17 (1) (c) GDPR)?".
- "Nel caso di una richiesta di cancellazione sulla base dell'articolo 17(1)(c) GDPR, la vostra organizzazione ha mai rifiutato di cancellare i dati sulla base dei suoi "motivi legittimi prevalenti per il trattamento"? Come intendete l'espressione "motivi legittimi prevalenti" e come si conciliano tali motivi con gli interessi, i diritti e le libertà degli interessati? Descrivete in dettaglio i casi che avete incontrato, compreso l'esercizio di bilanciamento effettuato in ciascun caso".
Suggerimento per il collegamento: Autoverifica online sull'articolo 17 del GDPR da parte del Commissario di Stato per la protezione dei dati e la libertà di informazione del Baden-Württemberg
Le aziende possono quindi prepararsi in modo specifico per la campagna di prova.
Se avete bisogno di supporto nell'implementazione di un concetto di cancellazione o se volete identificare e correggere potenziali punti deboli, contattateci. I nostri esperti di protezione dei dati saranno lieti di aiutarvi.
☎️ +49 (228) 926165-100
📧 verona@2b-advice.com