Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Il diritto all’oblio e il Consent Database di iubenda

L’articolo 17 del GDPR, “il diritto alla cancellazione”, conosciuto anche come “diritto all’oblio”, permette agli individui di richiedere ai titolari del trattamento la rimozione dei propri dati personali.

Tuttavia, il diritto all’oblio comporta anche molto altro oltre la richiesta di cancellare i propri dati personali.

Hai poco tempo? Vai a:

Cos’è il diritto all’oblio?

Il diritto all’oblio viene citato nell’Articolo 17 del GDPR, e afferma che, se si applicano una o più condizioni,

“L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare *senza ingiustificato ritardo i dati personali”

*Per “Senza ingiustificato ritardo” si intende entro un mese dalla ricezione della richiesta.

Inoltre, il titolare del trattamento deve adottare delle misure adeguate per confermare l’identità dell’interessato che ha inviato la richiesta.

Quando si applica il diritto all’oblio?

Le condizioni per cui si applica il diritto all’oblio sono delineate nell’Articolo 17. Un individuo ha il diritto di ottenere la cancellazione dei propri dati personali se:

  1. I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati.
  2. L’interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento.
  3. L’interessato si oppone al trattamento (che si basava sul legittimo interesse) e non sussiste alcun motivo legittimo prevalente per procedere al trattamento. Questo punto si applica anche quando i dati personali vengono usati per marketing diretto.
  4. I dati personali sono stati trattati illecitamente.
  5. I dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento.
  6. I dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Il titolare del trattamento può ignorare il diritto all’oblio dell’utente?

Sì, il titolare del trattamento può ignorare il diritto all’oblio dell’utente nei seguenti casi:

  • Il trattamento è necessario per l’esercizio del diritto alla libertà di espressione e di informazione.
  • Il trattamento è necessario per l’adempimento di un obbligo legale, per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento
  • Il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica.
  • Il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
  • Il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Inoltre, se un’organizzazione riesce a dimostrare che la richiesta di cancellazione dei dati personali è irragionevole o ingiusta, può richiedere una “tariffa ragionevole” o rifiutare la richiesta.

Nell’esercitare il diritto all’oblio dell’utente, ci sono molti fattori in gioco e ogni richiesta deve essere valutata individualmente.

Per ragioni di conformità, la prova di consenso degli utenti e qualsiasi revoca devono essere memorizzate nella dashboard del Consent Database. Comunque, il titolare del trattamento che riceva una richiesta di esercizio del diritto all’oblio deve considerare ogni richiesta individualmente.

Per tutte le operazioni di trattamento che si svolgono sulla base giuridica del consenso, il titolare del trattamento deve registrare le prove di consenso ottenute.

Dall’altro lato, gli utenti possono revocare qualsiasi consenso prestato per il trattamento dei propri dati personali.

Con l’aiuto del Consent Database, è possibile gestire il consenso dell’utente e tenere i registri del consenso richiesti dal GDPR.

In primo luogo, sta al titolare del trattamento determinare se una richiesta di cancellazione dei dati personali debba essere eseguita. Il titolare del trattamento deve rispondere alla richiesta nel giro di un mese e comunicare la sua decisione:

  1. se la verifica ha evidenziato la necessità di portare a termine la richiesta (quindi si applica una delle situazioni elencate nell’Articolo 17 del GDPR); o
  2. se la richiesta non può essere eseguita per una ragione specifica. In questo caso, il titolare del trattamento deve anche comunicare perché la richiesta non è stata portata a termine.

Mettiamo che il risultato della verifica del titolare del trattamento indichi che sia necessario rimuovere i dati personali memorizzati nel Consent Database. In questo caso, iubenda ti aiuterà con il lato tecnico.

Tuttavia, il titolare del trattamento dovrà comunque eseguire una chiamata API per registrare la cancellazione, se desidera portare avanti la richiesta dell’utente. Ricorda che il titolare del trattamento dovrà modificare la chiamata API per includere i dati personali pertinenti.

Dai un’occhiata all’esempio qui sotto:

curl --location --request POST 'http://consent.iubenda.com/consent' --header 'Content-Type:application/json' --header 'ApiKey:YOUR_PRIVATE_API_KEY' --data-raw '{
  "subject":{
    "id":"subject_id"
  },
  "preferences":{
    "preferencel":"false",
    "preference2":"false",
    "rightToBeForgotten":"true"
  },
  "proofs":[
    {
      "content":"The user requested to be forgotten,and this is the proof of it"
    }
  ]
}
'

Il titolare del trattamento può usare lo stesso mezzo di comunicazione che l’utente ha usato per inviare la richiesta. Per esempio, se l’utente ha comunicato la richiesta tramite un indirizzo email, il titolare del trattamento può usare lo stesso indirizzo per contattare l’utente.

Se hai ancora bisogno d’aiuto per esercitare le richieste di diritto all’oblio dei tuoi utenti, non esitare a contattare il nostro team di supporto.

Vedi anche: