In sintesi
- L'art. 21 GDPR riconosce il diritto di opposizione al trattamento, con due regimi.
- Opposizione condizionata (par. 1) per legittimo interesse e interesse pubblico, con bilanciamento.
- Opposizione assoluta (par. 2) per marketing diretto e profilazione collegata.
- Per profilazione non-marketing si applica il regime condizionato (par. 1).
- Ricerca/statistica ex art. 89 ha regime intermedio (par. 6).
- Il diritto va portato esplicitamente all'attenzione dell'interessato (par. 4-5).
Testo dell'articoloVigente
Articolo 21 del Regolamento (UE) 2016/679 (GDPR) — Diritto di opposizione.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Il diritto di opposizione al trattamento
L'art. 21 GDPR riconosce il diritto di opposizione al trattamento. È diritto di sistema, che si articola in due regimi: opposizione condizionata (par. 1, per trattamenti basati su legittimo interesse o interesse pubblico) e opposizione assoluta (par. 2, per marketing diretto, inclusa profilazione collegata). Il diritto opera ipso iure: dopo l'opposizione, il titolare deve interrompere il trattamento, salvo la possibilità di dimostrare motivi legittimi cogenti prevalenti (par. 1) o l'eccezione di accertamento, esercizio o difesa di un diritto in sede giudiziaria. La giurisprudenza CGUE ha valorizzato l'opposizione come strumento di tutela attiva dell'interessato.
Opposizione al trattamento su legittimo interesse o interesse pubblico (par. 1)
Il par. 1 prevede che l'interessato abbia il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento di dati personali che lo riguardano ai sensi dell'art. 6, par. 1, lett. e o f (interesse pubblico o legittimo interesse), compresa la profilazione su tali basi. Il titolare si astiene dal trattare ulteriormente i dati, salvo che dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sugli interessi, diritti e libertà dell'interessato oppure per l'accertamento/esercizio/difesa di un diritto in sede giudiziaria. La prova grava sul titolare.
Opposizione assoluta al marketing (par. 2)
Il par. 2 prevede l'opposizione assoluta al marketing diretto, inclusa la profilazione collegata. Qui non vi è bilanciamento: dopo l'opposizione, il marketing deve cessare integralmente. È il diritto più semplice e più esercitato. Il par. 3 specifica che la profilazione, ove direttamente collegata al marketing, segue lo stesso regime: cessazione immediata. Il Garante italiano ha sanzionato pesantemente continuazione di campagne marketing dopo opposizione e ha richiamato i titolari all'integrazione automatica di liste di opt-out con tutti i fornitori della catena.
Profilazione e opposizione (par. 3)
Per la profilazione non collegata al marketing (es. scoring creditizio, antifrode), si applica il regime del par. 1: opposizione condizionata a motivi particolari, con possibilità di bilanciamento. Per le decisioni automatizzate ex art. 22, l'interessato ha diritti ulteriori (intervento umano, contestazione, espressione del proprio punto di vista). L'opposizione e i diritti dell'art. 22 si cumulano: l'interessato può attivarli entrambi.
Ricerca scientifica/storica e statistica (par. 6)
Il par. 6 disciplina il trattamento a fini di ricerca scientifica o storica o a fini statistici a norma dell'art. 89, par. 1: l'interessato ha il diritto di opporsi per motivi connessi alla sua situazione particolare, salvo che il trattamento sia necessario per l'esecuzione di un compito di interesse pubblico. La ricerca è quindi soggetta a un regime intermedio: opposizione possibile ma con limite specifico per finalità pubbliche. La governance richiede valutazione caso per caso.
Informazione esplicita all'interessato (par. 4)
Il par. 4 prevede che, al più tardi al momento della prima comunicazione con l'interessato, il diritto di opposizione sia esplicitamente portato all'attenzione dell'interessato ed esposto chiaramente, separatamente da qualsiasi altra informazione. Il par. 5 prevede che, nei servizi della società dell'informazione, l'opposizione possa essere esercitata con mezzi automatizzati che utilizzano specifiche tecniche (es. signal Do Not Track, opt-out automatici via meta-tag, headers HTTP). La trasparenza dell'opposizione è regola sostanziale, non formale: nascondere il diritto in privacy policy lunghe è violazione.
Regola pratica e checklist operativa
Compliance art. 21: (i) form di opposizione semplice e visibile in informativa e dashboard; (ii) cessation cascade automatica verso ad-tech e partner; (iii) registro delle opposizioni; (iv) per opposizione condizionata, valutazione documentata dei motivi legittimi cogenti; (v) integrazione con artt. 18 (limitazione in attesa) e 22 (decisioni automatizzate); (vi) audit periodici. L'opposizione marketing è sanzionata pesantemente.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: opposizione marketing
Tizio riceve email promozionali. Esercita opposizione ex art. 21, par. 2. Il titolare deve cessare immediatamente il marketing e propagare l'opposizione ai partner.
Caso 2: Caio: scoring creditizio
Caio si oppone allo scoring creditizio per motivi particolari (calo reddito temporaneo). Opera il par. 1: il titolare valuta motivi legittimi cogenti. Se contratto in essere, può continuare per esecuzione contrattuale.
Caso 3: Sempronio: PA e interesse pubblico
Sempronio si oppone a trattamento PA ex art. 6, lett. e). La PA valuta motivi legittimi cogenti prevalenti per interesse pubblico. Bilanciamento documentato in DPIA.
Caso 4: Commento applicativo
L'art. 21 è motore di trasparenza. Le piattaforme che hanno implementato dashboard di opt-out semplificato, propagazione ai partner ad-tech, log di opposizione hanno ridotto reclami e sanzioni. La cessation cascade è il fronte tecnico critico.
Domande frequenti
Posso oppormi al marketing diretto?
Sì, in modo assoluto (par. 2). Dopo l'opposizione, il marketing deve cessare integralmente, inclusa la profilazione collegata. Non è ammesso bilanciamento.
Quando l'opposizione è condizionata?
Quando il trattamento è basato su legittimo interesse (art. 6, lett. f) o interesse pubblico (lett. e). Il titolare deve dimostrare motivi legittimi cogenti prevalenti per continuare.
Come funziona per la ricerca?
Il par. 6 prevede opposizione per motivi particolari nei trattamenti a fini di ricerca scientifica/storica o statistica, salvo che il trattamento sia necessario per l'esecuzione di un compito di interesse pubblico.
L'opposizione si propaga ai destinatari?
Sì, di fatto: il titolare deve assicurarsi che l'opposizione si traduca in cessazione del trattamento lungo tutta la catena. Per il marketing, integrazione con DSP, agenzie, partner.
Il titolare deve informarmi del diritto?
Sì, al più tardi alla prima comunicazione, esplicitamente e separatamente da altre informazioni (par. 4). Nei SSI sono ammessi mezzi automatizzati (par. 5).
Vedi anche