Quella della cancellazione dei dati è sicuramente una delle novità più significative apportate dal GDPR. Ed è interessante come il principio venga enunciato fin dagli importantissimi, e purtroppo non sempre valutati, considerata che chiariscono le ragioni e il contenuto del Regolamento. È infatti previsto al n.39 delle premesse al GDPR - per intenderci lo stesso in cui vengono enunciati, tra gli altri, i criteri di liceità e correttezza - che ogni Titolare di dati personali debba individuare termini e modalità per la loro cancellazione nonché le misure “ragionevoli” per procedere in tal senso oltre che per eventualmente modificarli.

Sempre nei Considerata si trova un riferimento alla cancellazione quando si parla di diritto all’oblio da parte dell’interessato (C. 59): vi si trovano i principi generali cui dovrà adeguarsi la condotta del Titolare per provvedere alla cancellazione dei dati in rete anche sulla base della esistente tecnologia.  Il tutto nell’interesse precipuo dell’interessato e del suo diritto ad “essere dimenticato” sia dai database di chi era in possesso dei dati sia, possibilmente, dall’intera rete.

In ogni caso, al Considerata 73, si prevede la possibilità di eccezioni alla possibilità della cancellazione nei casi di necessità per ragioni di pubblica sicurezza, reati e, si noti, la deontologia delle professioni. In ogni caso dette limitazioni dovranno rispettare la Carta e la Convenzione Europea.

• L'applicazione in concreto

Venendo all’applicazione pratica del principio, la regola di base è quella secondo la quale i dati personali non possono essere conservati dal Titolare per periodi di tempo superiori a quelli necessari per lo scopo del trattamento e per l’adempimento di obblighi di legge. Più nel dettaglio l’art. 5 GDPR prevede che i dati debbano essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Ne consegue che, una volta venuta meno la necessità di conservazione, i dati dell’interessato debbano essere cancellati da archivi e sistemi del Titolare, che non potrà conservarli per periodi ulteriori così come nel caso in cui sia l’interessato stesso a chiederne la cancellazione. In entrambe le ipotesi resta comunque la possibilità per il Titolare di conservare i dati per i richiamati obblighi di legge, ad esempio quelli fiscali di conservazione di fatture e altri documenti che possono contenere dati personali, salvo il divieto di porre in essere qualsiasi forma di trattamento.

Tra gli altri casi in cui non si potrà procedere alla definitiva cancellazione dei dati troviamo quelli di archiviazione per fini statistici o scientifici, ma solo nelle ipotesi che ciò avvenga per pubblico interesse o ricerca storica, previa attuazione di adeguate misure tecniche e organizzative a tutela dei diritti e delle libertà dell’interessato (cd. principio di “limitazione della conservazione”). Ricordiamo poi come l’art. 6, comma 4 consenta il trattamento di dati per finalità ulteriori rispetto a quelle dichiarate nell’informativa resa all’interessato, tenuto conto di ogni nesso tra le finalità per cui i dati personali vengono raccolti e le finalità dell’ulteriore trattamento, specialmente laddove siano trattate categorie particolari di dati personali, ovvero, ad esempio, dati relativi a condanne penali e a reati.

Il diritto alla cancellazione dei dati deve essere espressamente indicato nell’informativa messa a disposizione del Titolare e, in tal senso, è bene porre in evidenza come sia preciso dovere del Titolare imprenditore, anche a fini organizzativi e di logistica, avere un quadro chiaro dei dati trattati e del periodo di tempo per cui sarà necessaria la loro ulteriore conservazione oltre il tempo necessario all’esecuzione del contratto e delle prestazioni in esso previste.

Il successivo articolo 17 del GDPR, che disciplina il trattamento, prevede in particolare che la cancellazione dei dati debba avvenire “senza ingiustificato ritardo”, ponendo a carico del Titolare un preciso onere di cui si dovrà tenere debito conto al momento non solo della raccolta dei dati stessi e del consenso, ma già in una fase precedente al fine di predisporre le misure tecniche e adeguare le informative.