Il Diritto All'Oblio Secondo Il GDPR: Quando Può Essere Esercitato?

Il diritto all'oblio è il diritto dell'interessato di chiedere al titolare del trattamento la cancellazione dei dati personali che lo riguardano ed è disciplinato dall'art.17 del GDPR.

Quando può essere esercitato il diritto all'oblio?

Il diritto all'oblio può essere esercitato, chiedendo la cancellazione dei propri dati personali, quando:

1. i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati,
2. l'interessato revoca il consenso su cui si basa il trattamento (salvo non sussista altro fondamento giuridico per il trattamento)
3. i dati personali siano stati trattati illecitamente (ad es. senza l'acquisizione di un suo consenso valido, o in assenza di una legittima base giuridica, ecc...),
4. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, se i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione,
5. infine, se l'interessato si opponga al trattamento.

In quest'ultima ipotesi, il titolare del trattamento potrà dimostrare l'esistenza di motivi legittimi per continuare il trattamento, ovviamente da ritenersi prevalenti rispetto al diritto dell'interessato.

Tuttavia, nel caso in cui i dati siano trattati per finalità di marketing diretto, il GDPR non prevede tale limitazione, consentendo al contrario all'interessato di opporsi in qualsiasi momento al trattamento, da intendersi comprensivo anche della profilazione nella misura in cui è connessa all'attività di marketing.

Quando non si applica il diritto all'oblio previsto dal GDPR?

Il diritto all'oblio non può essere esercitato se il trattamento dei dati è necessario:

1. per l'esercizio del diritto alla libertà di espressione e di informazione;
2. per l'adempimento di un obbligo legale previsto dal diritto dell'Unione Europea o di uno Stato membro, per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
3. per motivi di interesse pubblico nel settore della sanità pubblica;
4. a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
5. per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Riassumendo:

Le potrebbe essere negato il diritto alla cancellazione dei Suoi dati personali nel caso in cui questi servano alla Compagnia Assicurativa per i fini appena esposti, salvo che

1. tali dati siano stati acquisiti ab origine illecitamente
2. non sia stato prestato un consenso valido al trattamento
3. la Compagnia abbia fatto un uso non conforme ai motivi dell'originario trattamento; ad esempio, se i dati erano stati acquisiti per la corretta esecuzione del contratto tra Voi stipulato ma non per finalità commerciali o di marketing. In tal caso, Lei potrà comunque opporsi ad ogni trattamento relativo all'attività di marketing.

In termini pratici, Le consiglio di:

1. reperire sul sito internet della Compagnia le indicazioni sui recapiti e le modalità attraverso cui esercitare i diritti previsti dal GDPR (se hanno predisposto una informativa conforme alla normativa dovrebbero essere riportati)
2. verificare se nel chiedere la cancellazione dei suoi dati personali Lei si è attenuto a quelle modalità; in caso negativo, Lei dovrà rinnovare la Sua richiesta nei modi previsti, chiedendo riscontro;
3. infine, se crede, potrà informare il Garante per la Protezione dei Dati Personali dell'accaduto. Qualora anche dalle indagini del Garante dovesse risultare che i Suoi diritti sono stati violati Lei potrà anche agire in sede giudiziaria per il risarcimento del danno.