Una trentina di Garanti europei ha reso noto, nel report rilasciato dall’European Data Protection Board (EDPB), tutte le sfide del diritto alla cancellazione per una piena attuazione.

L’obiettivo è quello di garantire che il diritto alla cancellazione sia effettivamente esercitato dai cittadini europei, valutando per conseguenza in che modo i titolari del trattamento lo applicano nella pratica.

EDPB, il report sul diritto alla cancellazione: le sfide per la piena applicazione

Grazie a quanto adottato dall’EDPB lo scorso 18 febbraio 2026 e cioè un report sull’azione del suo Coordinated Enforcement Framework (CEF) sul diritto alla cancellazione (ex art. 17 GDPR), veniamo a scoprire come uno dei diritti del Regolamento Ue sulla protezione dei dati maggiormente esercitati, secondo le statistiche/ricorrenze, come il diritto alla cancellazione (art. 17 GDPR) trova attuazione in concreto.

Il rapporto elenca principalmente le problematiche individuate sulla scorta di
quell’altro report frutto dell’azione coordinata (nel 2024) sul diritto di accesso (art. 15 GDPR).

Tra i risultati positivi: livello di compliance “medio – alto”

Fra i fiori all’occhiello spicca l’evidenza sul più in generale livello di conformità e quindi di compliance emergendo come quasi due/terzi delle Autorità di supervisione (SA) che hanno partecipato a questo tavolo di confronto, hanno potuto “testimoniare” come il livello di conformità possa definirsi complessivamente “medio-alto”.

Tra sfide e azioni di miglioramento

Tra le sfide e le azioni di miglioramento diversi sono i fattori da prendere in
considerazione per i quali, circa gli approfondimenti del caso, rimandiamo direttamente al report.

In ogni caso, le Autorità hanno riscontrato che tra le azioni di miglioramento occorre potenziare o epurare i seguenti punti:

• la formazione quasi assente o inadeguata;
• l’abuso e l’incertezza giuridica in ordine alle eccezioni che rifiutano le richieste di cancellazione;
• le difficoltà nella definizione e implementazione dei periodi di conservazione dei dati, altro nervo spinoso e scoperto;
• la cancellazione dei dati in caso di backup;
• la difficoltà nella tecnica di anonimizzazione per rispondere alle richieste di cancellazione.

Il focus: procedure interne assenti

Soffermiamoci più diffusamente sull’assenza di “procedure interne” ovvero poco robuste o male implementate.

Evidentemente questo tipo di carenza significa accountability debole in astratto e fatica di gestione delle richieste in concreto con il rischio che le stesse vengano gestite non in modo oggettivo, secondo criteri uniformi e valevoli per tutti.

In questo caso il rischio è proprio quello di gestire la richiesta soggettivamente e in modo non coerente.

Il tutto nasce però dalla considerazione per la quale si tratta di un diritto (quello alla cancellazione) che non può dirsi “assoluto”, ma da verificarsi di volta in volta nella misura in cui “da un lato, i soggetti interessati possano fare affidamento su una delle condizioni applicabili per esercitare il loro diritto (art. 17 GDPR) e, dall’altro, qualora una delle eccezioni si applichi al negare (totalmente o parzialmente) la richiesta di cancellazione (art. 17 GDPR)”, così si legge nel report.

Come mitigare i rischi

Al fine di mitigare tale rischio, ecco che una procedura interna, uniforme e valevole per tutte le richieste di questo tipo, agevolerebbe di molto specie sui criteri che i team coinvolti dovrebbero/dovranno applicare uniformemente nella valutazione delle richieste di cancellazione.

Quindi, non si deve dimenticare che le difficoltà riscontrate da alcuni titolari
nell’identificare i dati personali rientranti nell’ambito delle richieste di cancellazione.

Si tratta questa di una sfida assai simile a quella individuata sul diritto di accesso, e annessa mancanza di consapevolezza, attese le difficoltà associate all’assenza di un processo strutturato volto altresì a mappare i dati personali rilevanti.

Le azioni da mettere in atto e le raccomandazioni per l’EDPB sul diritto alla cancellazione

Così l’EDPB, grazie all’evidenze di cui al report in parola, suggerisce alcune azioni tra cui continuare a:

• sviluppare modelli pronti all’uso per i titolari onde rispondere alle richieste di cancellazione nei diversi casi d’uso (ad esempio nel caso in cui la richiesta venga accettata o respinta);
• sviluppare linee guida e pubblicizzare quelle esistenti al fine di aiutare i titolari a gestire internamente le richieste di cancellazione, con una frequenza suggerita per una revisione regolare della procedura;
• sensibilizzare sull’ambito delle richieste di cancellazione e sulla distinzione tra il diritto di cancellazione e per esempio la cancellazione di un account di un utente.

Le raccomandazioni dell’EDPB

L’EDPB sempre tramite questo report fornisce anche delle raccomandazioni, tra cui:

• stabilire e aggiornare procedure interne con scadenze e passaggi chiari, e allocare le responsabilità tra i diversi attori al fine di gestire/registrare le richieste di cancellazione;
• mappare i dati personali e le località di archiviazione onde avere una panoramica chiara di quali dati personali rientrano nell’ambito e dove cercare al ricevimento di una richiesta di cancellazione;
• sviluppare codici di condotta, ai sensi e per gli effetti di cui all’art. 40 GDPR, al fine di identificare procedure standardizzate circa l’applicazione efficace del diritto alla cancellazione.

Le buone pratiche

Da ultimo, l’EDPB suggerisce alcune best practice, come:

• coinvolgere un team responsabile delle richieste di cancellazione (ad esempio il team legale), coordinandosi se necessario con gli altri team;
• utilizzare dei software/sistemi in cui i record vengano generati automaticamente come prova di cancellazione allorché venga concessa e istruita una richiesta di cancellazione;
• utilizzare Indicatori Chiave di Prestazione (KPI) per monitorare la gestione delle richieste di cancellazione, come la percentuale di richieste risposte entro un mese o tre mesi (in caso di proroga);
• presentare i rapporti KPI alla direzione per la valutazione e il miglioramento del processo;
• definire i termini tecnici e legali più significativi del diritto alla cancellazione in un linguaggio quotidiano e comprensibili ai membri dello staff.

I prossimi passi

Le azioni coordinate come questa sono preziose in quanto svolgono un’azione chiave specialmente nell’ambito delle strategie ambite 2024-2027, volta a semplificare l’applicazione e la cooperazione tra le varie Autorità di protezione dati.

Se nel 2023, l’EDPB ha pubblicato il rapporto sulla sua prima azione coordinata sull’uso dei servizi basati su cloud da parte del settore pubblico, nel 2024, ha invece pubblicato la relazione sui risultati della seconda azione coordinata sulla designazione e la posizione dei responsabili della protezione dei dati.

Così nel 2025, l’EDPB si è potuto dedicare alla relazione sulla sua terza azione di coordinamento sull’attuazione del diritto di accesso.

Di qui, l’anno in corso (2026) con particolare attenzione agli obblighi di trasparenza e informazione previsti dal General Data Protection Regulation.

Cosa serve

Da questo report emerge una carenza/assenza di un plesso procedurale interno, robusto e sostanzioso. Se infatti fosse disponibile, agevolerebbe fortemente l’applicazione del diritto di cancellazione.

Inoltre occorre registrare anche una fatica concreta di ricorrere a “tecniche di anonimizzazione” efficaci ed efficienti.

Ciò va di pari passo con le ulteriori difficoltà nel determinare un congruo e coerente periodo di conservazione dei dati e quindi la loro cancellazione nel contesto dei backup.

Il tutto dipinto in quadro dallo sfondo sfumato in quanto il diritto alla cancellazione non può diversi annoverabile tra i “diritti assoluti”, il che complica ulteriormente la questione in punto bilanciamento di interessi, rispetto agli altri diritti.