Cookie Consent by Free Privacy Policy Generator
Studio Legale MP - Verona logo

Cerca nel sito

Inserisci una parola chiave per iniziare la ricerca

Diritti GDPR: quando cancellazione e opposizione diventano abuso - Studio Legale MP - Verona

Immaginate un'azienda che riceve, nello stesso giorno, tre richieste di cancellazione dati, due richieste di portabilità e un'opposizione al trattamento per finalità di marketing. Nessuna è illegittima in apparenza. Ma almeno una potrebbe nascondere uno scopo diverso dalla tutela della privacy: costruire artificiosamente i presupposti per una richiesta di risarcimento. È uno scenario sempre più frequente, e la Corte di Giustizia dell'Unione Europea ha deciso che era giunto il momento di intervenire con precisione chirurgica.

Il diritto di cancellazione dei dati personali (art. 17 GDPR), il diritto alla portabilità (art. 20 GDPR) e il diritto di opposizione al trattamento (art. 21 GDPR) formano insieme il nucleo più dinamico e, per certi versi, più conflittuale della normativa europea sulla protezione dei dati. Sono diritti che il legislatore europeo ha introdotto per restituire all'individuo il controllo sulla propria identità digitale, superando l'impianto rigido della Direttiva 95/46/CE. Ciascuno di essi apre nuove frontiere alla tutela, consentendo all'interessato un'ampia gamma di possibilità per rafforzare la propria posizione, estendendola alle nuove forme di circolazione dei dati nella società digitale. Eppure, l'esperienza applicativa degli ultimi anni ha rivelato una tensione crescente tra la tutela genuina della privacy e l'uso strumentale di questi strumenti.

La sentenza che ha cambiato le regole del gioco

La sentenza della Corte di Giustizia dell'Unione europea del 19 marzo 2026, causa C-526/24 (caso Brillen Rottler), affronta per la prima volta in modo diretto il tema dell'esercizio abusivo del diritto di accesso ai dati personali ex art. 15 GDPR, chiarendo che il carattere «eccessivo» dell'istanza ai sensi dell'art. 12, par. 5, può ricorrere anche in presenza di una prima richiesta, ogniqualvolta l'analisi delle circostanze concrete riveli un intento fraudolento.

Il caso di specie è istruttivo nella sua semplicità: un cittadino che, dopo essersi iscritto a newsletter aziendali, presentava richieste di accesso ai dati personali per poi avanzare pretese risarcitorie in caso di mancata o tardiva risposta. Il Tribunale circoscrizionale di Arnsberg aveva sospeso il procedimento e rimesso la questione pregiudiziale alla Corte di Lussemburgo. La risposta è stata netta ma sfumata: il diritto alla protezione dei dati non è una prerogativa assoluta e deve essere contemperato con il principio di proporzionalità e la funzione sociale dello stesso.

L'aspetto più rilevante per la pratica quotidiana — e che i commentatori hanno in parte sottovalutato — è che i principi affermati non riguardano solo il diritto di accesso, ma si estendono all'intero sistema dei diritti previsti dal GDPR, inclusi rettifica, cancellazione, limitazione del trattamento, portabilità e opposizione. In altri termini, la sentenza Brillen Rottler non va letta come un caso isolato sul diritto di accesso: è una dichiarazione di principio che investe l'intera architettura dei diritti dell'interessato.

Sul piano del risarcimento del danno, il mero timore dell'interessato legato alla perdita di controllo dei propri dati o a un futuro loro utilizzo abusivo non è sufficiente: il giudice nazionale deve verificare che il timore possa essere fondato. Questo chiarimento è cruciale: fino a oggi, in molte aule di merito, era sufficiente invocare una generica "perdita di controllo sui propri dati" per ottenere almeno un risarcimento simbolico. Ora il giudice nazionale deve compiere una verifica in concreto sulla fondatezza del timore allegato.

Il principio del vigilantibus iura subveniunt assume qui una valenza bidirezionale: il diritto tutela chi è vigile, ma non premia chi usa la vigilanza come pretesto. L'esercizio furbo dei diritti GDPR, strutturato come una trappola per il titolare del trattamento, non è protezione della privacy: è lite temeraria camuffata da compliance.

Cancellazione, portabilità e opposizione: confini distinti, rischi sovrapposti

Prima di analizzare i profili critici, è utile precisare il perimetro normativo di ciascun diritto, perché le loro differenze strutturali generano errori frequenti.

Il diritto di cancellazione (o "diritto all'oblio" nella formulazione dell'art. 17 GDPR) non è assoluto. L'interessato può chiederlo quando i dati non sono più necessari rispetto alle finalità della raccolta, quando revoca il consenso, quando si oppone al trattamento e non sussistono motivi legittimi prevalenti, o quando i dati sono stati trattati illecitamente. Ma il titolare può legittimamente rifiutare se il trattamento è necessario per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Questo ultimo motivo — la difesa di un diritto in giudizio — è spesso sottovalutato dai titolari, che cedono alla pressione della richiesta di cancellazione anche quando potrebbero opporre un rifiuto fondato.

Il diritto alla portabilità (art. 20 GDPR) ha un perimetro più ristretto: si applica solo ai trattamenti basati su consenso o su contratto, e solo ai dati "forniti" dall'interessato in modo attivo o osservato, in formato strutturato e leggibile da dispositivi automatici. La portabilità non può andare a inficiare il diritto alla cancellazione dei dati: al titolare non si impone alcun obbligo di conservazione dei dati per un periodo superiore a quello necessario, al sol fine di adempiere a una potenziale richiesta di portabilità. Un chiarimento normativo che molte aziende ignorano, esponendosi a trattamenti inutilmente prolungati.

Un aspetto tecnico-giuridico spesso trascurato: qualora l'interessato eserciti il diritto all'oblio di cui all'art. 17 GDPR, non potrà essergli opposto il diritto alla portabilità dei dati al sol fine di respingere la richiesta. La portabilità non comporta, altresì, l'automatica cancellazione dei dati dai sistemi del titolare cui la richiesta è avanzata. Questo significa che i due diritti, pur connessi, seguono binari autonomi: la richiesta di portabilità non è un blocco alla cancellazione, e la cancellazione non è un presupposto della portabilità.

Il diritto di opposizione (art. 21 GDPR) opera su un piano diverso ancora. L'opposizione, specialmente nel marketing, non ammette zone grigie: una volta esercitata, il sistema deve garantire l'esclusione immediata e permanente. Tuttavia, quando l'opposizione riguarda trattamenti basati sul legittimo interesse del titolare, quest'ultimo può continuare se dimostra l'esistenza di motivi legittimi cogenti che prevalgono sugli interessi dell'interessato. È questa la vera zona di conflitto: aziende che continuano il trattamento invocando un legittimo interesse generico, e interessati che esercitano l'opposizione senza indicare i motivi specifici della loro situazione particolare.

Sul fronte sanzionatorio, va ricordato che la Corte di Cassazione, Sezione I Civile, con sentenza n. 18583 dell'8 luglio 2025, ha fornito importanti chiarimenti sui termini procedurali che il Garante per la Protezione dei Dati Personali deve rispettare nell'irrogare sanzioni, pronuncia di grande rilevanza che chiarisce il confine tra l'attività investigativa e quella sanzionatoria. Il principio, applicato ai procedimenti per violazione dei diritti dell'interessato, è di immediata rilevanza pratica: anche quando il Garante accerta un'omessa risposta a una richiesta di cancellazione o di opposizione, il procedimento sanzionatorio deve rispettare scadenze perentorie. Con sentenza del 16 dicembre 2025, la Cassazione si è espressa sulla natura dei termini entro cui il Garante è tenuto ad adottare il provvedimento conclusivo del procedimento di ingiunzione-sanzione. Il rispetto di questi termini non è un mero dato procedurale: è un presidio di legalità che consente al titolare sanzionato di eccepire la decadenza dell'azione del Garante.

Dal punto di vista pratico, i rischi sono simmetrici e speculari. Per il titolare del trattamento, il pericolo principale è duplice: non rispettare il termine di un mese (prorogabile di altri due mesi in casi complessi) per rispondere alle istanze dell'interessato, e non saper opporre un rifiuto motivato quando la richiesta è abusiva. La Corte di Giustizia del 19 marzo 2026 ha chiarito che ignorare o trascinare la risposta, senza preparazione, può costare una sanzione del Garante e una causa di risarcimento in parallelo. Ed è una novità importante: fino a ieri molte aziende sottovalutavano il rischio civile della cattiva gestione di queste richieste.

Per l'interessato che esercita i diritti, il rischio è opposto: usare le richieste GDPR come leva per pretese risarcitorie prive di danno reale espone ora al rischio di vedersi opporre l'eccezione di abuso del diritto. Anche una prima richiesta di accesso — e per estensione, di cancellazione o opposizione — può essere considerata abusiva se l'unico scopo è costruire artificiosamente una pretesa risarcitoria. La Corte ha però precisato che l'onere della prova dell'abuso incombe interamente sul titolare: non è sufficiente il sospetto, occorre la dimostrazione concreta dell'intento fraudolento.

Dworkin, nel costruire la sua teoria dei diritti come «carte vincenti» rispetto alle ragioni collettive, avvertiva che anche le carte vincenti hanno un costo sociale quando vengono giocate in modo sistematico e strumentale. Il diritto alla protezione dei dati personali non fa eccezione: la sua forza dipende dalla serietà con cui viene esercitato. Svuotarlo in contenziosi opportunistici significa indebolirlo per tutti.

La questione che la giurisprudenza europea non ha ancora completamente risolto — e che costituisce il vero cantiere aperto — è quella del coordinamento tra questi diritti nell'era dell'intelligenza artificiale. Quando un sistema di IA allena i propri modelli su dati dell'interessato, come si esercita il diritto di cancellazione se i dati sono stati già incorporati nei pesi del modello? E come si configura l'opposizione al trattamento automatizzato quando il confine tra decisione umana e algoritmica è sempre più sfumato? Questi sono i nodi che il GDPR, costruito nel 2016, non ha potuto anticipare e che la giurisprudenza dovrà affrontare nei prossimi anni, con strumenti interpretativi più flessibili di quelli attualmente disponibili.

Hai bisogno di assistenza o di un preventivo?

Autore: Redazione - Staff Studio Legale MP


Redazione - Staff Studio Legale MP -

Redazione - Staff Studio Legale MP