Risposta breve
Si', ai sensi degli artt. 16-17 GDPR puoi richiedere la cancellazione dei tuoi dati personali. La richiesta non si applica pero' a referti e dati per i quali esiste un obbligo conservativo di legge (10 anni per i referti accreditati).
Il diritto all'oblio dell'art. 17 GDPR e' uno dei piu' conosciuti ma anche fra i piu' fraintesi. Non e' un diritto assoluto: l'art. 17.3 elenca espressamente i casi in cui non si applica, e fra questi rientra l'adempimento di un obbligo legale a cui il titolare e' soggetto. Per un laboratorio accreditato questo significa: cancelliamo tutto cio' che possiamo, manteniamo solo cio' che la legge ci impone di conservare.
Cosa possiamo cancellare
- Account utente e credenziali di accesso all'area cliente
- Dati di contatto (email, telefono) per comunicazioni commerciali
- Consensi marketing e preferenze di iscrizione newsletter
- Cronologia di navigazione e cookie di profilazione
- Dati di pagamento alternativi memorizzati per checkout veloce
- Consenso facoltativo all'uso anonimizzato per ricerca (con effetto futuro)
Cosa siamo obbligati a conservare
| Categoria | Durata minima | Fonte normativa | Base GDPR |
|---|---|---|---|
| Rapporti di prova (referti) | 10 anni | ISO/IEC 17025 cl. 8.4 | Art. 6.1.c |
| Fatture elettroniche | 10 anni | Art. 2220 c.c. + DPR 600/1973 | Art. 6.1.c |
| Documentazione antiriciclaggio | 10 anni | D.Lgs. 231/2007 | Art. 6.1.c |
| Catena di custodia giudiziaria | Fino a chiusura procedimento | Art. 354 c.p.p. | Art. 6.1.c + 6.1.e |
| Dati di sicurezza informatica | 12 mesi | Provvedimento Garante 27/11/2008 | Art. 6.1.c |
| Log accessi LIMS | 6 mesi | Provvedimento Garante 2008 | Art. 6.1.c |
Cancellazione contabile non significa rimozione fisica
Per i dati che non possiamo cancellare (per esempio referti per il decennio), pratichiamo una cancellazione contabile: i dati sono congelati, accessibili solo all'amministrazione per usi documentati (audit, contenziosi), non piu' trattati per nessun'altra finalita' e oscurati nei sistemi operativi quotidiani.
Come esercitare il diritto
- Invia una email al DPO indicato nell'informativa con oggetto Richiesta cancellazione GDPR
- Allega copia del documento d'identita per verifica della titolarita
- Specifica se vuoi cancellazione totale o limitata a categorie specifiche
- Riceverai conferma di presa in carico entro 48 ore lavorative
- Risposta motivata entro 30 giorni di calendario (estendibili a 90 in casi complessi)
- Esecuzione della cancellazione e attestazione scritta
Diritto di rettifica come alternativa
Se la tua esigenza e' correggere dati inesatti (per esempio un indirizzo sbagliato, un nome con errore di battitura) puoi esercitare il diritto di rettifica dell'art. 16 GDPR. E' piu' rapido della cancellazione e non comporta perdita dello storico delle analisi, che spesso e' utile per dimostrare trend pluriennali (per esempio in vendita immobiliare o in conformita' a piani ASL).
Reclamo al Garante
Se ritieni che la nostra risposta non sia conforme al GDPR, puoi presentare reclamo al Garante per la protezione dei dati personali (artt. 77 GDPR e 141 D.Lgs. 196/2003) o ricorrere all'autorita' giudiziaria. L'indirizzo e le modalita' sono pubblicate su garanteprivacy.it. Prima di farlo ti suggeriamo di contattarci per chiarire eventuali malintesi: la maggior parte delle questioni si risolve con una conversazione strutturata.
Cancellazione presso responsabili esterni
Quando esercitiamo la tua richiesta, propaghiamo l'ordine di cancellazione anche ai responsabili esterni che hanno ricevuto i tuoi dati per nostro conto: hosting LIMS, sistema email transazionale, gateway pagamento (limitatamente ai dati che non sono di loro titolarita' autonoma). Il DPA art. 28 GDPR prevede esplicitamente questo flusso e il tempo medio di propagazione e' di 7-15 giorni. Ricevi attestazione scritta della cancellazione completata anche presso i responsabili esterni.
Limitazione del trattamento come alternativa
Se non vuoi attendere i 30 giorni di istruttoria della cancellazione, puoi chiedere la limitazione immediata del trattamento (art. 18 GDPR): i tuoi dati restano presenti ma vengono congelati, non utilizzati per nessuna finalita' commerciale o operativa, in attesa della decisione finale. E' una misura cautelare utile in caso di urgenza (per esempio pendenza di un giudizio).
Dati anonimizzati gia rilasciati
I dati gia' anonimizzati e rilasciati come open data nelle nostre statistiche pubbliche non sono piu' personali (art. 4.1 GDPR) e quindi non rientrano nella richiesta di cancellazione. Questo perche' per l'anonimizzazione applichiamo k=10 e aggregazione comunale: il tuo singolo dato non e' piu' identificabile e non e' piu' dato personale ai sensi del GDPR. Se non hai concesso il consenso opzionale alla ricerca, comunque non sei mai entrato nei dataset pubblici.
In sintesi
- Diritto alla cancellazione esercitabile via email al DPO con copia ID
- Risposta motivata entro 30 giorni dalla richiesta (estendibili a 90)
- Referti e fatture restano per obbligo decennale (art. 17.3 GDPR)
- Cancellazione contabile: dati congelati, non piu trattati
- Diritto di rettifica come alternativa se servono solo correzioni
- Cancellazione propagata anche ai responsabili esterni in 7-15 gg
- Limitazione del trattamento come misura cautelare immediata (art. 18)
Vuoi esercitare il diritto all'oblio?
Scrivi al DPO di 123Acqua: ricevi conferma di presa in carico entro 48 ore.
Contatta il DPODomande correlate
Approfondimenti: