Meta: Diritto all'oblio e cloud computing: dove si trovano i tuoi dati, chi ne risponde e come ottenere la cancellazione. Aggiornato con giurisprudenza recente.
Slug: diritto-oblio-cloud-localizzazione-dati
Chiedere la cancellazione dei propri dati personali al provider cloud sembra semplice, ma spesso si scopre — troppo tardi — che quei dati sono distribuiti su server in più continenti, gestiti da soggetti diversi, soggetti a leggi extraeuropee. Il diritto all'oblio esiste sulla carta: renderlo effettivo nell'architettura del cloud computing è un'altra storia. Questo articolo analizza il problema dalla prospettiva pratica e giuridica, alla luce degli orientamenti più recenti della Corte di Cassazione e del Garante Privacy.
Immaginate di aver subito un procedimento penale conclusosi favorevolmente. Dopo anni, cercate il vostro nome su Google e trovate ancora quegli articoli, quegli URL, quella storia. Chiedete la deindicizzazione. Ma i vostri dati, nel frattempo, dove sono finiti esattamente? Su quale server? In quale Paese? Sotto quale legge? Questa domanda — apparentemente tecnica — è in realtà il cuore di uno dei problemi giuridici più irrisolti del diritto digitale contemporaneo: il rapporto tra diritto all'oblio e cloud computing.
La questione non riguarda solo chi è stato coinvolto in vicende giudiziarie. Riguarda chiunque abbia dati personali archiviati da un'azienda, da un datore di lavoro, da una piattaforma digitale. Riguarda, in altri termini, tutti.
Il diritto all'oblio: un quadro normativo chiaro, un'esecuzione complessa
L'art. 17 del Regolamento UE 2016/679 (GDPR) riconosce all'interessato il diritto di ottenere la cancellazione dei propri dati personali «senza ingiustificato ritardo», quando questi non siano più necessari rispetto alle finalità per le quali erano stati raccolti, quando venga revocato il consenso o quando il trattamento sia illecito. Il legislatore italiano ha poi rafforzato questa tutela in ambito penale con l'art. 64-ter delle disposizioni attuative del codice di procedura penale, introdotto dalla riforma Cartabia, che consente alla persona prosciolta o destinataria di archiviazione di richiedere la deindicizzazione dei propri dati dalla rete.
Questo impianto normativo, tuttavia, presuppone che sia identificabile con certezza chi detiene i dati, dove si trovano e quali regole si applicano al loro trattamento. Nell'ambiente cloud, tutte e tre queste certezze vengono meno con frequenza preoccupante.
Il problema tecnico-giuridico è noto agli addetti ai lavori: i grandi fornitori di servizi cloud gestiscono i dati in modo dinamico, spostandoli da un server all'altro in regioni geografiche differenti, frammentandoli per ragioni di ridondanza e sicurezza. Un documento caricato oggi su una piattaforma americana può trovarsi contemporaneamente su server in Irlanda, in Virginia e a Singapore. Quando l'interessato chiede la cancellazione, il titolare del trattamento — spesso la società cliente che ha acquistato il servizio cloud — deve a sua volta istruire il responsabile del trattamento, cioè il provider, il quale può avere a sua volta sub-responsabili sparsi per il mondo. Come ricorda il principio vigilantibus iura subveniunt: il diritto assiste chi vigila, ma per vigilare bisogna prima sapere dove guardare.
Il GDPR prova a governare questa complessità: l'art. 28 impone al titolare del trattamento di stipulare con il responsabile un contratto che garantisca il rispetto del Regolamento, compreso l'obbligo di cancellazione su istruzione. Ma nella pratica commerciale, i contratti standard dei grandi cloud provider contengono spesso clausole limitative, esenzioni di responsabilità e termini vaghi sulla localizzazione dei dati. La piccola impresa o il professionista che si affitta uno spazio cloud si trova oggettivamente in una posizione di debolezza contrattuale rispetto a strutture enormemente più grandi.
Il nodo si aggrava quando i server si trovano fuori dall'Unione Europea. Il Capo V del GDPR permette il trasferimento di dati verso Paesi terzi solo in presenza di garanzie adeguate — decisioni di adeguatezza della Commissione UE, clausole contrattuali tipo, norme vincolanti di impresa — ma il rispetto effettivo di queste condizioni è difficile da verificare per l'utente finale. Il conflitto strutturale con il diritto statunitense è emblematico: il Clarifying Lawful Overseas Use of Data Act (Cloud Act, 2018) consente alle autorità americane di richiedere ai provider statunitensi l'accesso ai dati dei loro clienti indipendentemente dalla localizzazione fisica dei server, anche se questi si trovano in Europa. L'art. 48 del GDPR stabilisce che un tale mandato straniero non costituisce di per sé una base giuridica sufficiente per il trasferimento di dati personali verso un Paese terzo, ma il conflitto normativo rimane aperto e, per ora, strutturalmente irrisolto.
La giurisprudenza più recente: dalla carta alla tutela effettiva
La Corte di Cassazione, con la fondamentale ordinanza della Sez. I civile del 18 marzo 2026, n. 6433 (Rel. Dott. R.E.A. Russo), ha affrontato un caso paradigmatico: un soggetto, il cui procedimento penale era stato estinto per prescrizione nel marzo 2022, aveva presentato a Google LLC due istanze di deindicizzazione di articoli online relativi alla vicenda giudiziaria. Il provider aveva accolto solo una delle due richieste, asserendo di non aver rilevato il collegamento con la seconda; la rimozione completa era avvenuta solo dopo la notifica del ricorso giudiziario. Il Tribunale di Roma aveva riconosciuto la violazione del diritto all'oblio ma aveva negato il risarcimento del danno con una motivazione ritenuta apodittica dalla Suprema Corte.
La Cassazione ha cassato la sentenza con rinvio, stabilendo un principio di grande portata pratica: accertata l'illiceità della condotta del gestore del motore di ricerca per omessa o tardiva deindicizzazione, il giudice di merito non può respingere la domanda risarcitoria con una formula di stile che ignori le allegazioni di parte. Il danno non patrimoniale può essere provato anche attraverso presunzioni semplici, valorizzando la diffusione della notizia, la permanenza online dei contenuti, la posizione sociale del soggetto leso e l'assenza di qualsiasi interesse pubblico attuale alla loro reperibilità. Una motivazione che si limiti a constatare la mancanza di prova specifica, senza esaminare concretamente questi parametri, non raggiunge il minimo costituzionale richiesto dall'art. 111 Cost. e integra nullità per motivazione apparente.
Questa pronuncia si inserisce in un orientamento consolidato che la stessa Prima Sezione aveva sviluppato pochi mesi prima con l'ordinanza del 26 dicembre 2025, n. 34217, relativa all'interpretazione dell'art. 64-ter delle disposizioni attuative del codice di procedura penale. La Corte ha precisato che questa norma, introdotta dalla riforma Cartabia, non attribuisce un diritto automatico alla deindicizzazione, ma richiede comunque un bilanciamento con l'interesse pubblico attuale all'informazione: la mera intervenuta assoluzione non è condizione sufficiente se il soggetto riveste ancora un ruolo pubblico rilevante che giustifichi la permanenza della notizia nel circuito informativo. Il diritto all'oblio, in altri termini, non è assoluto ma relazionale e contestuale.
Sul versante amministrativo, il Garante per la protezione dei dati personali, con il provvedimento n. 121 del 26 febbraio 2026, ha ribadito con forza il diritto alla cancellazione dei dati personali «senza ingiustificato ritardo» ai sensi dell'art. 17 GDPR, anche nel contesto lavorativo. Il caso riguardava una lavoratrice licenziata i cui dati personali — fotografia, indirizzo e-mail, numero di telefono — erano rimasti pubblicati sul sito aziendale per circa un mese dopo la cessazione del rapporto, nonostante la richiesta di rimozione. Il Garante ha affermato che il ritardo nella cancellazione costituisce violazione del Regolamento e ha irrogato la sanzione, ribadendo che la circostanza per cui l'interessata fosse già in possesso di quei dati è del tutto irrilevante: il diritto alla cancellazione non è condizionato dalla disponibilità pregressa dei dati da parte del richiedente.
Il filo che unisce questi tre provvedimenti è chiaro: il diritto alla cancellazione viene sempre più interpretato dai giudici e dalle autorità di controllo come un diritto effettivo, non meramente formale, la cui violazione produce conseguenze risarcitorie concrete. Ma questa evoluzione giurisprudenziale si scontra ogni giorno con la realtà del cloud, in cui la cancellazione materiale di un dato è un'operazione tutt'altro che semplice.
Scriveva Stefano Rodotà che «la protezione dei dati personali è la nuova frontiera della libertà individuale». Nell'era del cloud, quella frontiera è geograficamente mobile e giuridicamente incerta: i dati viaggiano, le giurisdizioni si sovrappongono, i provider restano spesso irraggiungibili.
Cosa fare, in concreto, quando si vuole esercitare il diritto alla cancellazione nei confronti di un soggetto che archivia dati nel cloud? Prima di tutto, occorre identificare correttamente il titolare del trattamento: non necessariamente il provider cloud, ma il soggetto — azienda, professionista, ente — che ha raccolto i dati e ne ha determinato le finalità e i mezzi. È a questo soggetto che va indirizzata la richiesta ex art. 17 GDPR, che deve ricevere riscontro entro un mese (prorogabile di altri due in casi complessi). In secondo luogo, conviene leggere con attenzione l'informativa privacy, in particolare la sezione relativa ai trasferimenti internazionali di dati: la localizzazione dei server e le garanzie adottate devono essere indicate. Se la cancellazione non avviene o avviene in ritardo, la via del reclamo al Garante Privacy è percorribile e, come confermato dalla giurisprudenza, può aprire la strada al risarcimento del danno anche non patrimoniale. Attenzione però al termine: il GDPR non fissa una prescrizione autonoma per il reclamo al Garante, ma l'azione civile risarcitoria segue le regole ordinarie della responsabilità extracontrattuale.
Un profilo spesso trascurato riguarda le copie di backup: molti provider cloud eseguono automaticamente copie periodiche dei dati. Quando il dato principale viene cancellato su istruzione, i backup possono continuare a contenerne traccia per settimane o mesi, su server in giurisdizioni diverse. Questo aspetto deve essere espressamente regolato nel contratto con il provider, con l'indicazione di tempi massimi entro cui anche le copie di sicurezza devono essere eliminate. In mancanza di una clausola esplicita, il rischio è che la cancellazione sia solo apparente.
Il panorama si complicherà ulteriormente con l'entrata in vigore, prevista per il 18 agosto 2026, del Regolamento europeo sull'e-Evidence (prove elettroniche), che introduce l'ordine europeo di produzione (EPOC): un'autorità giudiziaria di uno Stato membro potrà emettere un ordine vincolante direttamente a un provider di servizi stabilito in un altro Stato membro, senza passare per i canali tradizionali di assistenza giudiziaria. Questo meccanismo, se da un lato facilita le indagini penali, dall'altro pone nuove questioni in ordine alla tutela dei dati degli interessati e alla effettività del diritto all'oblio anche in contesti investigativi.
Il nodo del cloud e del diritto all'oblio rispecchia una tensione più profonda, che investe le fondamenta stesse del diritto nell'era digitale: la norma è pensata per un mondo in cui lo spazio è definito, i confini sono certi, le responsabilità sono attribuibili. Il cloud è l'esatto contrario — un ambiente in cui la dissoluzione dello spazio fisico produce una dissolvenza anche delle categorie giuridiche tradizionali. Costruire tutele effettive in questo ambiente richiede non solo aggiornamento normativo, ma una cultura della protezione del dato che parta — prima ancora che dal legislatore — da ogni singola impresa e da ogni singolo professionista che sceglie dove e come affidare le informazioni altrui.
Keywords: diritto all'oblio cloud, cancellazione dati cloud, localizzazione dati cloud GDPR, cloud computing protezione dati, diritto cancellazione dati personali, GDPR cloud provider, deindicizzazione Google Cassazione 2026, oblio digitale motori ricerca, cloud computing responsabilità, trasferimento dati extra UE, Cloud Act GDPR conflitto, provider cloud obblighi, cancellazione dati backup cloud, art 17 GDPR cancellazione, diritto oblio procedimento penale, Garante Privacy cancellazione dati, cloud computing giurisdizione, dati personali server estero, oblio e cloud computing, richiesta cancellazione dati, GDPR Capo V trasferimenti, tutela dati personali cloud, cloud computing titolare trattamento, responsabile trattamento dati, contratto cloud GDPR, cloud computing Italia, deindicizzazione tardiva danno, risarcimento danno oblio digitale, prova danno non patrimoniale GDPR, presunzioni semplici danno dati personali, Cassazione oblio 2026, Garante Privacy 2026, e-Evidence Regolamento 2026, EPOC ordine produzione europeo, backup cloud cancellazione dati, clausole contratto cloud, sub-responsabile trattamento dati, art 28 GDPR cloud, cloud computing PMI obblighi, server estero dati europei, sovranità digitale dati, geopatriation cloud compliance, GDPR trasferimento USA, Cloud Act Amazon Google Microsoft, art 64-ter disposizioni attuative cpp, riforma Cartabia oblio penale, deindicizzazione assoluzione, cancellazione dati ex dipendente, Garante Privacy lavoro dati, oblio reputazione online, danno reputazionale dati, protezione dati digitali, avvocato privacy Verona, studio legale diritto digitale Verona, diritto digitale Veneto, privacy cloud aziende, consulenza GDPR Verona, protezione dati aziendali, risarcimento violazione privacy, diritto all'oblio giurisprudenza recente
Prompt immagine: Editorial-style photograph of a person in a modern office standing before a floor-to-ceiling window at dusk, silhouetted against a cityscape. Above the city, translucent digital data nodes and fragmented document shapes float across the sky like scattered clouds, dissolving into different directions. The palette blends deep indigo and steel-blue tones with warm amber city lights below, evoking the tension between the physical world and the invisible geography of cloud data. No text or lettering in the image.
Fonti: eius.it — testo integrale ordinanza Cass. civ., Sez. I, ord. 18 marzo 2026, n. 6433: confermata esistenza, pertinenza e contenuto (deindicizzazione tardiva, diritto all'oblio, danno presuntivo).
ecnews.it — commento e massima Cass. civ., Sez. I, ord. 18 marzo 2026, n. 6433, Rel. Dott. R.E.A. Russo: confermata pertinenza e indicazione del relatore.
studioclaudioscognamiglio.it — analisi del caso Cass. n. 6433/2026: confermati fatti e ratio decidendi (tardiva deindicizzazione, cassazione con rinvio, prova per presunzioni).
giuricivile.it — commento Cass. ord. 6433/2026: confermati principi su causalità adeguata e prova del danno non patrimoniale.
news.avvocatoandreani.it — massima e commento Cass. ord. 6433/2026: confermata corrispondenza contenuto articolo e ratio sentenza.
agendadigitale.eu — analisi Cass. 14488/2025 e ord. 34217/2025 (Sez. I civ.): confermata esistenza e contenuto (bilanciamento oblio, art. 64-ter c.p.p., riforma Cartabia).
federprivacy.org — titolo e abstract su Cass. ord. 26 dicembre 2025, n. 34217: confermata esistenza pronuncia, tema oblio penale e art. 64-ter.
lavorofacile.it — Garante Privacy, provvedimento n. 121 del 26 febbraio 2026 (art. 17 GDPR, cancellazione tardiva dati ex dipendente): confermata esistenza e pertinenza.
garanteprivacy.it — registro provvedimenti: confermata esistenza provvedimento n. 121 del 26 febbraio 2026 (doc. web n. 10233201) e n. 82 del 12 febbraio 2026 (doc. web n. 10230220), entrambi su diritto all'oblio.
ictsecuritymagazine.com — analisi Cloud Act, art. 48 GDPR, Regolamento e-Evidence, EPOC, entrata in vigore agosto 2026: confermati dati normativi e aggiornamento ad aprile 2026.
pitecolab.it — approfondimento geopatriation e Cloud Act (dicembre 2025): confermati aspetti tecnici sulla localizzazione dati e sovranità digitale.
protezionedatipersonali.it — analisi cloud computing e protezione dati: confermate nozioni su gestione dinamica dei dati, frammentazione e localizzazione.
diritto.it — cloud computing e protezione dati personali: confermati profili su catena cloud, titolare/responsabile del trattamento, art. 28 GDPR.
Verifica: SENTENZA 1:
Cass. civ., Sez. I, ord. 18 marzo 2026, n. 6433, Rel. Dott. R.E.A. Russo
1. ESISTE? Sì — confermata su eius.it, ecnews.it, studioclaudioscognamiglio.it, giuricivile.it, news.avvocatoandreani.it, federprivacy.org, dirittodellinformazione.it, tecnoandroid.it (fonti multiple convergenti).
2. CONTENUTO CORRETTO? Sì — il contenuto descritto nell'articolo (tardiva deindicizzazione da parte di Google LLC, procedimento penale estinto per prescrizione, Tribunale di Roma che nega il risarcimento con motivazione apodittica, Cassazione che cassa con rinvio e afferma che il danno può essere provato per presunzioni semplici) corrisponde pienamente al contenuto verificato su più fonti.
3. FONTE DI CONFERMA: eius.it (testo integrale), ecnews.it (massima con indicazione del relatore), studioclaudioscognamiglio.it (analisi completa).
SENTENZA 2:
Cass. civ., Sez. I, ord. 26 dicembre 2025, n. 34217
1. ESISTE? Sì — confermata su federprivacy.org, agendadigitale.eu, questionegiustizia.it (citata indirettamente), news.avvocatoandreani.it.
2. CONTENUTO CORRETTO? Sì — il contenuto descritto (interpretazione art. 64-ter disp. att. c.p.p., oblio non automatico, bilanciamento con interesse pubblico attuale, riforma Cartabia) corrisponde alle fonti verificate.
3. FONTE DI CONFERMA: agendadigitale.eu (analisi dettagliata), federprivacy.org (titolo e abstract).
SENTENZA/PROVVEDIMENTO 3:
Garante Privacy, provvedimento n. 121 del 26 febbraio 2026
1. ESISTE? Sì — confermato su lavorofacile.it (analisi completa) e su garanteprivacy.it (registro ufficiale, doc. web n. 10233201, Registro provvedimenti n. 121 del 26 febbraio 2026).
2. CONTENUTO CORRETTO? Sì — il contenuto descritto (lavoratrice licenziata, dati sul sito aziendale non rimossi per un mese, violazione art. 17 GDPR, diritto di accesso art. 15 GDPR, irrilevanza del possesso pregresso dei dati) corrisponde pienamente alle fonti.
3. FONTE DI CONFERMA: lavorofacile.it (analisi), garanteprivacy.it (registro ufficiale).
GIUDIZIO COMPLESSIVO: VERDE — tutte e tre le pronunce citate sono verificate e confermate da fonti autorevoli e convergenti. Il contenuto descritto nell'articolo corrisponde al contenuto reale delle decisioni. Nessuna sentenza è stata inventata o attribuita a contenuti errati.
Redazione - Staff Studio Legale MP
