← Torna a Guide pratiche
Ultimo aggiornamento: 25 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
In sintesi
Il diritto all'oblio è codificato nell'art. 17 GDPR (Reg. UE 2016/679): l'interessato può ottenere la cancellazione dei dati personali al ricorrere di uno dei sei presupposti tipizzati (superamento della finalità, revoca del consenso, opposizione legittima, trattamento illecito, obbligo legale, dati di minore). Il titolare risponde entro un mese; in caso di rifiuto, è proponibile reclamo al Garante (art. 77 GDPR) o ricorso giurisdizionale (art. 79 GDPR e art. 152 Cod. Privacy). Sui motori di ricerca opera la deindicizzazione (sentenza Google Spain), con bilanciamento tra protezione dei dati e diritto all'informazione.

Testo dell'articoloVigente

Il diritto all’oblio, codificato nel Regolamento UE 2016/679 (GDPR), conferisce all’interessato il potere di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano. Si tratta di un diritto fondamentale, fortemente influenzato dalla giurisprudenza europea (sentenza Google Spain del 2014) e applicabile sia ai contesti di archiviazione e pubblicazione, sia alla deindicizzazione presso i motori di ricerca. Questa guida illustra i sei presupposti dell’art. 17 GDPR, i limiti previsti, la procedura di richiesta a titolare e motori di ricerca, e il rimedio del reclamo al Garante.

Cosa stabilisce la legge in materia

L’art. 17 GDPR rubrica come diritto alla cancellazione (diritto all’oblio) il potere dell’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo. Il titolare ha l’obbligo correlato di provvedere alla cancellazione se sussiste uno dei sei motivi tipizzati: (a) i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; (b) l’interessato revoca il consenso e non sussiste altro fondamento giuridico; (c) l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere; (d) i dati sono stati trattati illecitamente; (e) i dati devono essere cancellati per adempiere un obbligo legale; (f) i dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione a minori.

L’Art. 17 GDPR prescrive inoltre, al paragrafo 2, l’obbligo del titolare che abbia reso pubblici i dati personali di adottare misure ragionevoli, anche tecniche, per informare i titolari che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei dati. Si tratta della cosiddetta oblio rafforzato, particolarmente rilevante per i casi di disseminazione incontrollata in rete: il titolare originario è tenuto a notificare la richiesta agli altri titolari downstream, pur con il limite della tecnologia disponibile e dei costi di attuazione. La giurisprudenza ha precisato che tale obbligo si declina in dovere di diligenza, non in garanzia di risultato.

Il paragrafo 3 dell’Art. 17 GDPR prevede le ipotesi in cui la cancellazione non è dovuta: esercizio del diritto alla libertà di espressione e di informazione; adempimento di un obbligo legale; motivi di interesse pubblico nel settore della sanità pubblica; fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici; accertamento, esercizio o difesa di un diritto in sede giudiziaria. Si tratta di un bilanciamento che il titolare opera caso per caso, motivando puntualmente il rifiuto sulla base di uno dei motivi tipizzati. Il complemento sistematico è dato dall’art. 21 GDPR (diritto di opposizione) e dalle disposizioni sulle limitazioni dei diritti dell’interessato dettate dall’art. 2-undecies Cod. Privacy per il contesto italiano.

Presupposti operativi della cancellazione

L’esercizio dell’oblio richiede l’identificazione concreta del fondamento invocato tra i sei motivi tipizzati. La prima ipotesi — superamento della finalità — è particolarmente rilevante per dati raccolti per finalità ormai esaurite (esempio: iscrizione a una newsletter dismessa, dati relativi a contratti risolti da anni, curriculum trasmesso e non più aggiornato). Il titolare è tenuto a definire ex ante i tempi di conservazione e a cancellare automaticamente i dati al loro decorso: la mancata predisposizione di una politica di conservazione rappresenta essa stessa violazione del principio di limitazione della conservazione di cui all’art. 5 GDPR.

La revoca del consenso, prevista dalla lettera (b) e disciplinata dall’art. 7 GDPR, opera quando il consenso era l’unico fondamento del trattamento. Va distinto il caso in cui il trattamento poggia su base giuridica alternativa (esecuzione del contratto, obbligo di legge, interesse legittimo): in tali ipotesi la revoca del consenso non comporta automaticamente diritto alla cancellazione, perché il titolare può proseguire il trattamento sulla base diversa. La revoca produce effetti ex nunc: non inficia la liceità del trattamento basato sul consenso anteriormente alla revoca.

Il diritto di opposizione ex art. 21 GDPR costituisce snodo per i trattamenti basati sull’interesse legittimo del titolare o sull’esecuzione di un compito di interesse pubblico. L’interessato può opporsi in qualsiasi momento; il titolare si astiene dal trattare ulteriormente i dati personali salvo che dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sugli interessi, sui diritti e sulle libertà dell’interessato. Per il marketing diretto l’opposizione è incondizionata: il titolare deve cessare immediatamente il trattamento e cancellare i dati salvo le esigenze di conservazione legate al riconoscimento dell’opposizione stessa (cosiddette black list).

Oblio sui motori di ricerca: deindicizzazione

Il diritto all’oblio si declina con particolare intensità rispetto ai motori di ricerca. La sentenza Google Spain della Corte di Giustizia UE (C-131/12 del 2014) ha riconosciuto al titolare del motore la qualifica di titolare del trattamento per l’attività di indicizzazione e ha affermato l’obbligo, su richiesta dell’interessato, di rimuovere dai risultati di ricerca i link a pagine contenenti informazioni che appaiano inadeguate, non pertinenti o non più pertinenti rispetto alle finalità del trattamento svolto dall’editore originario. La deindicizzazione non comporta cancellazione del contenuto dal sito sorgente: il dato resta accessibile direttamente, ma non più rintracciabile mediante ricerca per nome.

La procedura di deindicizzazione si attiva tramite moduli messi a disposizione dai principali motori (Google, Bing). La richiesta richiede: identificazione dell’interessato mediante documento; indicazione precisa degli URL da rimuovere; motivazione che illustri l’inadeguatezza, non pertinenza o eccessività dell’indicizzazione rispetto al tempo trascorso o al contesto attuale. Il motore di ricerca esamina la richiesta bilanciando il diritto alla protezione dei dati con il diritto del pubblico all’informazione: se la persona riveste o ha rivestito ruoli pubblici (politici, manager di società quotate, sportivi noti), il diritto all’informazione tende a prevalere; se si tratta di privato cittadino e i fatti sono risalenti, prevale di norma il diritto all’oblio.

Il bilanciamento operato dal motore non è insindacabile. Il rifiuto della richiesta di deindicizzazione è impugnabile davanti al Garante per la protezione dei dati personali ex art. 77 GDPR o davanti all’autorità giudiziaria ordinaria ex art. 79 GDPR. La giurisprudenza italiana ha consolidato il principio per cui la persistenza dell’indicizzazione di vicende penali (anche assolutorie) dopo molti anni dai fatti integra violazione del diritto all’oblio, salvo permanente rilievo di cronaca o di interesse storico. Più articolata la valutazione quando il fatto riveste ancora rilievo pubblico al momento della richiesta.

Coordinamento con altri diritti dell’interessato

Il diritto all’oblio non opera isolatamente, ma in un sistema integrato con gli altri diritti riconosciuti dal Capo III del GDPR. Il diritto di accesso ex art. 15 GDPR consente all’interessato di ottenere conferma dell’esistenza del trattamento, di accedere ai dati personali e a informazioni qualificate (finalità, categorie di destinatari, periodo di conservazione, esistenza di trasferimenti verso paesi terzi). Il diritto di rettifica ex art. 16 GDPR consente di chiedere la correzione di dati inesatti o l’integrazione di dati incompleti. Il diritto di limitazione ex art. 18 GDPR opera in alternativa o in attesa della cancellazione, quando l’esattezza dei dati è contestata, il trattamento è illecito ma l’interessato non vuole la cancellazione, i dati sono necessari per la difesa in giudizio, o si attende la decisione sull’opposizione.

L’art. 19 GDPR impone al titolare l’obbligo di notifica delle rettifiche, cancellazioni o limitazioni a ciascuno dei destinatari cui sono stati comunicati i dati personali, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il diritto alla portabilità ex art. 20 GDPR permette all’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano forniti a un titolare, e di trasmetterli ad altro titolare senza impedimenti. Il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato è disciplinato dall’art. 22 GDPR: l’interessato può chiedere l’intervento umano, esprimere la propria opinione e contestare la decisione, anche quando questa derivi da algoritmi di profilazione che producano effetti giuridici sulla sua sfera personale.

Procedura di esercizio e rimedi

La richiesta di cancellazione si rivolge al titolare del trattamento, identificato dalle informative privacy del sito o servizio. Le modalità sono libere: email, PEC, modulo online, raccomandata con avviso di ricevimento. Il titolare è tenuto a rispondere senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta, prorogabile di due mesi in caso di richieste complesse, ai sensi dell’art. 12 GDPR. La risposta deve essere fornita per iscritto o con altri mezzi, eventualmente in formato elettronico se la richiesta è pervenuta in tale forma. L’esercizio del diritto è gratuito; il titolare può addebitare un contributo spese ragionevole solo in caso di richieste manifestamente infondate o eccessive.

L’omessa risposta o il rifiuto motivato attivano i rimedi previsti dal Regolamento. L’art. 77 GDPR riconosce all’interessato il diritto di proporre reclamo all’autorità di controllo (in Italia, il Garante per la protezione dei dati personali). Il reclamo è proponibile senza obbligo di preventiva interazione con il titolare ed è gratuito. L’art. 78 GDPR garantisce il ricorso giurisdizionale effettivo contro le decisioni del Garante; l’art. 79 GDPR prevede il diritto al ricorso giurisdizionale contro il titolare o il responsabile del trattamento. In Italia l’autorità competente è il tribunale ordinario del luogo di residenza dell’interessato, ai sensi dell’art. 152 Cod. Privacy.

Sul piano risarcitorio l’art. 82 GDPR riconosce all’interessato il diritto al risarcimento del danno materiale o immateriale subìto per effetto di una violazione del Regolamento. La giurisprudenza della Corte di Giustizia UE ha precisato che non esiste una soglia minima di gravità del danno: anche il danno immateriale di limitata entità è risarcibile, purché concretamente provato. Le sanzioni amministrative pecuniarie previste dall’art. 83 GDPR possono raggiungere 20 milioni di euro o il 4 per cento del fatturato globale annuo. In Italia la disciplina sanzionatoria è integrata dall’art. 166 Cod. Privacy e dagli artt. 167 e seguenti per le fattispecie penali (trattamento illecito di dati).

Articoli chiave da consultare

  • Art. 17 GDPR — Diritto alla cancellazione (diritto all'oblio): sei presupposti e tre eccezioni
  • Art. 21 GDPR — Diritto di opposizione al trattamento
  • Art. 7 GDPR — Condizioni per il consenso e revoca
  • Art. 12 GDPR — Informazioni, comunicazioni e modalità trasparenti
  • Art. 13 GDPR — Informazioni da fornire qualora i dati siano raccolti presso l'interessato
  • Art. 14 GDPR — Informazioni quando i dati non sono ottenuti presso l'interessato
  • Art. 15 GDPR — Diritto di accesso dell'interessato
  • Art. 16 GDPR — Diritto di rettifica
  • Art. 18 GDPR — Diritto di limitazione del trattamento
  • Art. 19 GDPR — Obbligo di notifica delle rettifiche o cancellazioni
  • Art. 20 GDPR — Diritto alla portabilità dei dati
  • Art. 22 GDPR — Decisioni automatizzate relative alle persone fisiche
  • Art. 77 GDPR — Diritto di proporre reclamo all'autorità di controllo
  • Art. 78 GDPR — Ricorso giurisdizionale contro l'autorità di controllo
  • Art. 79 GDPR — Ricorso giurisdizionale nei confronti del titolare o responsabile
  • Art. 82 GDPR — Diritto al risarcimento del danno
  • Art. 83 GDPR — Condizioni generali per infliggere sanzioni amministrative
  • Art. 5 GDPR — Principi applicabili al trattamento di dati personali
  • Art. 6 GDPR — Liceità del trattamento e basi giuridiche
  • Art. 152 D.Lgs. 196/2003 — Cod. Privacy — Autorità giudiziaria ordinaria competente
  • Art. 166 D.Lgs. 196/2003 — Cod. Privacy — Criteri di applicazione delle sanzioni amministrative
  • Art. 167 D.Lgs. 196/2003 — Cod. Privacy — Trattamento illecito di dati (illecito penale)
  • Art. 2-undecies D.Lgs. 196/2003 — Cod. Privacy — Limitazioni ai diritti dell'interessato

Casi pratici e bilanciamento

Caso 1. Tizio, vent’anni fa, era stato coinvolto in un’inchiesta giudiziaria conclusasi con assoluzione. Una testata online conserva l’articolo originario nei propri archivi e il pezzo continua a comparire ai primi posti tra i risultati delle ricerche per nome. Tizio chiede al motore la deindicizzazione invocando il diritto all’oblio. La richiesta è fondata: i fatti sono risalenti, l’assoluzione esclude l’attualità del rilievo pubblico, Tizio non riveste ruoli pubblici. Il motore deindicizza i link mantenendo l’articolo accessibile direttamente sul sito sorgente. In parallelo Tizio può chiedere all’editore l’aggiornamento dell’articolo con l’esito assolutorio o la rimozione, valutate caso per caso.

Caso 2. Caia revoca il consenso al trattamento dei dati per finalità di marketing diretto comunicate via email da un retailer. La revoca opera con effetto immediato. Il titolare deve cessare le comunicazioni promozionali e cancellare i dati salvo le esigenze di conservazione legate al riconoscimento dell’opposizione (cosiddetta black list). La revoca non incide sui dati conservati per l’esecuzione di contratti pregressi né su quelli soggetti a obblighi di legge (esempio: dati fiscali per la durata prevista dalle norme tributarie). L’eventuale persistenza di comunicazioni promozionali successive alla revoca espone il titolare a sanzione del Garante.

Caso 3. Sempronio è imprenditore con condanna definitiva per reato fiscale rilevante. Chiede la deindicizzazione di articoli giornalistici che riferiscono la vicenda. Il bilanciamento è sfavorevole alla richiesta: la rilevanza pubblica del soggetto, la gravità della vicenda e la sua attualità nell’opinione pubblica fanno prevalere il diritto all’informazione. Diverso sarebbe stato il caso di reato di lieve entità o di vicenda datata e priva di permanente rilievo. L’oblio non opera quale generalizzato diritto al silenzio: è ipotesi che richiede valutazione concreta del rapporto tra tempo trascorso, rilevanza pubblica, gravità del fatto e qualità di chi lo richiede.

Domande frequenti

L’oblio cancella il contenuto dalla pagina originale?

No, non necessariamente. L’oblio si declina in due forme: (a) richiesta al titolare del sito sorgente di cancellare il contenuto, accolta o respinta in base ai sei motivi dell’art. 17 GDPR e ai bilanciamenti del paragrafo 3; (b) richiesta al motore di ricerca di deindicizzare il link dai risultati per nome, mantenendo il contenuto accessibile direttamente. Le due richieste sono autonome e cumulabili: si può ottenere la deindicizzazione senza la cancellazione, e viceversa. La portata pratica della sola deindicizzazione è significativa, perché rende il contenuto non più rintracciabile tramite ricerca per nome.

Quanto tempo deve trascorrere per esercitare il diritto?

Non esiste un termine minimo. L’art. 17 GDPR non subordina il diritto al decorso di un periodo predeterminato: la cancellazione è dovuta al ricorrere di uno dei sei presupposti tipizzati, indipendentemente dal tempo trascorso. Il fattore temporale rileva nel bilanciamento con il diritto all’informazione, in particolare nella deindicizzazione: maggiore il tempo trascorso dai fatti, minore la prevalenza dell’interesse alla cronaca. Per vicende molto recenti il diritto all’informazione tende a prevalere; per fatti risalenti il diritto all’oblio prevale di norma sui privati cittadini.

Il titolare può rifiutare la cancellazione?

Sì, ma solo nei casi tipizzati dal paragrafo 3 dell’art. 17 GDPR: esercizio della libertà di espressione e informazione; adempimento di obbligo legale; motivi di interesse pubblico nel settore della sanità; finalità di archiviazione, ricerca scientifica/storica/statistica; accertamento, esercizio o difesa di un diritto in sede giudiziaria. Il rifiuto deve essere motivato per iscritto e indicare la base giuridica invocata. Avverso il rifiuto l’interessato può proporre reclamo al Garante (art. 77 GDPR) o ricorso giurisdizionale al tribunale ordinario (art. 79 GDPR e art. 152 Cod. Privacy).

Quanto costa il reclamo al Garante?

Il reclamo è gratuito. L’art. 77 GDPR garantisce all’interessato il diritto di proporre reclamo all’autorità di controllo senza alcun esborso. Il Garante esamina il reclamo, valutando l’idoneità delle prove fornite e l’adesione del titolare alla normativa. L’esito può consistere in archiviazione, ammonimento, provvedimento prescrittivo o sanzione amministrativa. Il procedimento può essere preceduto da fase di confronto informale tra le parti e ha durata variabile, mediamente di alcuni mesi. È sempre possibile l’azione giudiziaria parallela, salvo coordinamento con l’eventuale procedimento del Garante.

Cosa succede se i dati sono stati condivisi con terzi?

L’art. 17 paragrafo 2 GDPR impone al titolare che ha reso pubblici i dati di adottare misure ragionevoli, anche tecniche, per informare i titolari che li stanno trattando della richiesta di cancellazione di qualsiasi link, copia o riproduzione dei dati. L’obbligo è di mezzi, non di risultato: il titolare originario è tenuto alla diligenza nella comunicazione downstream, ma non risponde di omissioni di terzi. L’interessato può rivolgere richieste autonome a ciascun titolare downstream identificato. Per i contenuti liberamente accessibili e replicati su altri siti il rimedio più efficace è frequentemente la deindicizzazione dai motori di ricerca.

Risorse correlate

Per la disciplina della responsabilità del titolare e degli obblighi organizzativi si rimanda agli artt. 24 e 28 GDPR; per la sicurezza del trattamento all’art. 32 GDPR; per la notifica di violazioni di dati personali agli artt. 33 e 34 GDPR; per la valutazione di impatto sulla protezione dei dati all’art. 35 GDPR. Sul versante italiano sono di rilievo l’Art. 154 D.Lgs. 196/2003 sui compiti del Garante e l’Art. 161 D.Lgs. 196/2003 sulle sanzioni per inosservanza dei provvedimenti dell’autorità di controllo.

Questa guida ha valore divulgativo e non costituisce consulenza legale. Per casi specifici è raccomandato il parere di un professionista abilitato.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.