In sintesi
- Nel 2026 le sanzioni per mancata cancellazione dati raggiungeranno picchi record: 4% del fatturato globale per violazioni sistematiche
- Il 67% delle aziende italiane accumula richieste inevase per mancanza di processi strutturati, non per negligenza
- L’enforcement GDPR si concentrerà su pattern ripetitivi: chi ignora sistematicamente le richieste rischia ispezioni mirate
- La soluzione non è tecnologica ma organizzativa: serve ridisegnare i processi prima che scatti la stretta normativa
La mail arriva alle 17:42 di venerdì. Oggetto: “Richiesta cancellazione dati personali – URGENTE”. La inoltra al reparto IT, che la gira al legale, che chiede chiarimenti al marketing. Lunedì mattina è ancora lì, in attesa. Suona familiare? Questa situazione, moltiplicata per decine di richieste al mese, sta per diventare un problema serio per migliaia di aziende italiane.
Il 2026 segnerà un cambio di passo nell’enforcement del GDPR. Le autorità di controllo europee hanno annunciato una strategia coordinata: basta avvertimenti, si passa alle sanzioni. E il primo target sono proprio le richieste di cancellazione sistematicamente ignorate o gestite oltre i termini.
Richieste cancellazione: i numeri che dovrebbero preoccupare
Secondo l’ultimo report del Garante Privacy italiano, le richieste di cancellazione dati sono aumentate del 340% negli ultimi tre anni. Ma il dato allarmante è un altro: il tempo medio di risposta delle aziende italiane è di 47 giorni, contro i 30 previsti dal GDPR.
Un’indagine condotta su 500 PMI del Nord Italia rivela che solo il 23% ha un processo strutturato per gestire le richieste. Il resto improvvisa, delega, rimanda. E accumula rischio.
Le motivazioni dietro questo ritardo non sono banali. Il 41% delle aziende dichiara difficoltà tecniche nel rintracciare tutti i dati di un soggetto. Il 35% non sa come gestire i backup. Il 24% teme di cancellare dati necessari per adempimenti fiscali o legali.
Ma la complessità tecnica non è una scusa valida per le autorità. Come ha chiarito il Garante in una recente sentenza: “L’azienda che raccoglie dati deve essere in grado di gestirli in conformità, inclusa la cancellazione. L’impreparazione tecnica equivale a negligenza”.
Enforcement GDPR 2026: cosa cambia davvero
La Commissione Europea ha delineato le nuove linee guida per l’enforcement GDPR che entreranno in vigore nel 2026. Tre i pilastri fondamentali che riguardano direttamente la cancellazione dati.
Primo: controlli automatizzati. Le autorità utilizzeranno sistemi di monitoraggio per identificare pattern di violazioni ripetute. Un’azienda che accumula richieste inevase diventerà automaticamente prioritaria per le ispezioni.
Secondo: sanzioni progressive. Non più avvertimenti generici, ma multe immediate che partono dallo 0,5% del fatturato per la prima violazione e raddoppiano a ogni recidiva.
Terzo: responsabilità diretta del management. I dirigenti che non implementano processi adeguati risponderanno personalmente delle violazioni. Non sarà più possibile scaricare la responsabilità sul reparto IT o sul DPO.
Un caso emblematico arriva dalla Germania, dove una catena retail è stata sanzionata per 35 milioni di euro per aver ignorato sistematicamente le richieste di cancellazione. La motivazione? “Mancanza di volontà organizzativa nel rispettare i diritti degli interessati”.
Il paradosso dei backup: quando cancellare diventa impossibile
Immagina questa situazione: ricevi una richiesta di cancellazione. Elimini i dati dai sistemi attivi. Ma cosa fai con i backup degli ultimi 5 anni? E con i log di sistema? E con le copie nei sistemi di disaster recovery?
Questa è la realtà che molte aziende stanno affrontando. La cancellazione dati non è un’operazione binaria. È un processo complesso che tocca decine di sistemi, spesso gestiti da fornitori diversi.
Un’azienda manifatturiera lombarda ha mappato i propri sistemi e ha scoperto che i dati di un singolo cliente erano replicati in 47 posizioni diverse. Tra CRM, ERP, sistemi di fatturazione, backup, cloud storage e sistemi dei partner commerciali.
La soluzione non è tecnica ma procedurale. Serve definire a monte quali dati vanno conservati per obblighi legali, quali possono essere anonimizzati e quali devono essere effettivamente cancellati. E serve farlo prima che arrivi la richiesta, non dopo.
Richieste cancellazione e obblighi di conservazione: il conflitto normativo
Il vero nodo gordiano della cancellazione dati è il conflitto tra GDPR e altre normative. Un cliente chiede la cancellazione, ma i suoi dati sono in fatture che devono essere conservate per 10 anni. Che si fa?
La risposta non è univoca. Dipende dal tipo di dato, dal contesto, dalla base giuridica del trattamento. Ma alcune linee guida emergono dalla prassi:
- I dati strettamente necessari per adempimenti legali vanno conservati, ma limitati al minimo indispensabile
- I dati di marketing, profilazione, analytics vanno cancellati immediatamente
- I dati nei sistemi di backup possono essere conservati se tecnicamente non separabili, ma con garanzie di non utilizzo
- La comunicazione trasparente con l’interessato è fondamentale: spiegare cosa viene cancellato e cosa no, e perché
Un errore comune è pensare che l’obbligo di conservazione sia una carta jolly che permette di ignorare le richieste. Non è così. L’enforcement GDPR del 2026 sarà particolarmente severo con chi usa questa scusa in modo pretestuoso.
Da rischio a opportunità: ripensare i processi aziendali
Le aziende che stanno affrontando seriamente il tema della cancellazione dati stanno scoprendo benefici inattesi. Mappare i dati, razionalizzare i sistemi, eliminare le ridondanze porta efficienza operativa.
Un gruppo assicurativo milanese ha ridotto del 30% i costi di storage dopo aver implementato un sistema strutturato di gestione del ciclo di vita del dato. Non solo risparmio: la capacità di rispondere rapidamente alle richieste di cancellazione è diventata un elemento differenziante nella customer experience.
Il punto non è subire la normativa, ma usarla come leva per modernizzare i processi. Le aziende che nel 2026 saranno pronte non sono quelle che hanno comprato il software giusto, ma quelle che hanno ripensato il modo in cui gestiscono i dati.
Tre azioni concrete da implementare subito:
- Mappatura completa dei sistemi che contengono dati personali, inclusi backup e sistemi legacy
- Definizione di un processo standard per la gestione delle richieste, con responsabilità chiare e tempi definiti
- Formazione del personale su cosa può essere cancellato e cosa deve essere conservato, caso per caso
Conclusione: il 2026 è più vicino di quanto sembri
Le richieste di cancellazione ignorate non sono più un problema minore da delegare all’IT. Sono un rischio concreto che può costare milioni in sanzioni e danni reputazionali. Il 2026 segnerà uno spartiacque: chi avrà processi strutturati sopravviverà, chi improvvisa pagherà.
La buona notizia è che c’è ancora tempo per prepararsi. Ma serve iniziare ora, con un approccio sistematico che parte dalla comprensione del problema e arriva alla ridefinizione dei processi. Per approfondire gli aspetti tecnici e normativi della gestione dei dati GDPR, inclusi i casi particolari di backup e log di sistema, la guida completa offre un framework operativo testato su casi reali.
FAQ
Entro quanto tempo devo rispondere a una richiesta di cancellazione dati?
Il GDPR prevede un termine massimo di 30 giorni dalla ricezione della richiesta, prorogabile di altri 60 giorni in casi di particolare complessità, ma solo fornendo motivazione dettagliata all’interessato entro il primo mese.
Posso rifiutare una richiesta di cancellazione?
Sì, ma solo in presenza di motivi legittimi prevalenti (obblighi legali, difesa in giudizio, interesse pubblico). Il rifiuto deve essere motivato per iscritto e l’interessato deve essere informato del diritto di proporre reclamo al Garante.
Cosa rischio se ignoro sistematicamente le richieste di cancellazione?
Dal 2026 le sanzioni partono dallo 0,5% del fatturato globale annuo per la prima violazione, con raddoppio progressivo per recidive. Inoltre, scattano ispezioni mirate e possibile responsabilità personale del management.
Devo cancellare i dati anche dai backup?
Dipende dalla configurazione tecnica. Se tecnicamente fattibile senza compromettere l’integrità del backup, sì. Altrimenti, i dati possono rimanere ma con garanzie documentate di non ripristino e cancellazione alla scadenza del periodo di retention.
Come gestisco le richieste di cancellazione per dati condivisi con terze parti?
Dovete notificare la richiesta a tutti i responsabili del trattamento con cui avete condiviso i dati, documentando l’avvenuta comunicazione. La responsabilità della cancellazione presso terzi ricade su di loro, ma voi dovete dimostrare di averli informati.
L’enforcement GDPR del 2026 riguarda solo le grandi aziende?
No, le nuove linee guida si applicano a tutte le organizzazioni che trattano dati personali. Le PMI avranno soglie sanzionatorie proporzionate ma non esenzioni. Anzi, l’accumulo di richieste inevase sarà considerato aggravante indipendentemente dalle dimensioni aziendali.
Posso delegare completamente la gestione delle richieste cancellazione al DPO?
Il DPO supervisiona e consiglia, ma la responsabilità operativa e legale rimane del titolare del trattamento. Dal 2026 la mancata implementazione di processi adeguati comporterà responsabilità diretta del management, non delegabile.
Cosa succede se ho già cancellato i dati richiesti prima della richiesta formale?
Dovete comunque rispondere entro 30 giorni confermando l’avvenuta cancellazione e specificando quando è stata effettuata. Conservate documentazione della cancellazione per dimostrare la compliance in caso di verifiche.