L’applicazione del GDPR da parte dell’EDPB nel 2025 si concentra sull’Articolo 17, verificando la conformità alle norme di cancellazione, inclusi i cookie. L’aumento delle richieste di eliminazione, i costi elevati e i rischi di non conformità richiedono flussi di lavoro automatizzati, tracciamento del consenso, preparazione legale e solide operazioni di protezione dei dati per evitare sanzioni e costruire fiducia.
Il Comitato europeo per la protezione dei dati (EDPB) ha avviato, all’inizio del 2025, la sua azione nell’ambito del Coordinated Enforcement Framework (CEF), con un’attenzione particolare all’attuazione del diritto alla cancellazione o diritto all’oblio (Art.17 GDPR). Questo cambiamento nelle priorità di applicazione delle Autorità europee per la protezione dei dati (DPA) riflette un’applicazione più rigorosa dell’Articolo 17 del GDPR, che conferisce alle persone il diritto di far cancellare i propri dati personali in determinate situazioni.
Nel corso del 2025, 30–32 Autorità europee per la protezione dei dati (DPA) effettueranno audit sui titolari del trattamento tramite indagini conoscitive e formali per verificare se le richieste di cancellazione siano gestite correttamente. In altre parole: le richieste di eliminazione vengono trattate nel rispetto della legge, nei tempi previsti e in conformità con le eccezioni previste dal GDPR?
Il giro di vite nasce dal fatto che le richieste di cancellazione sono uno dei diritti più frequentemente esercitati ai sensi del GDPR e uno di quelli che generano più reclami da parte degli interessati. I titolari del trattamento devono cancellare i dati personali “senza ingiustificato ritardo” (di norma entro un mese) e devono rintracciare e informare eventuali terze parti in possesso di tali dati.
Un rapporto del 2025 sul monitoraggio delle tendenze in materia di privacy ha evidenziato una crescita dell’82% su base annua nelle richieste di cancellazione dei dati. Per le aziende con traffico medio-alto, ciò comporta costi stimati in 1,26 milioni di USD all’anno per cinque milioni di visitatori unici. Secondo la ricerca Gartner, il costo di una singola richiesta di un interessato è di 1.524 USD – un costo che può rapidamente aumentare.
Nell’ambito della spinta dei consumatori a riprendere il controllo sulla propria privacy, anche il numero di richieste “do not sell” è in forte aumento. Sebbene gli organismi di regolamentazione sottopongano le organizzazioni a un esame sempre più attento, sembrerebbe logico che le aziende rispettassero scrupolosamente le richieste di opt-out; tuttavia, lo stesso rapporto sulle tendenze della privacy afferma che oltre il 69% delle imprese viola il consenso dei consumatori, installando cookie di tracciamento indipendentemente dalle preferenze espresse.
Questo risultato è in linea con quanto osservato altrove; ad esempio, secondo una ricerca dell’Ufficio islandese per le comunicazioni elettroniche, tutti i fornitori di servizi web analizzati hanno installato cookie sui dispositivi degli utenti nonostante il rifiuto esplicito degli stessi. Inoltre, la DPA olandese ha recentemente intensificato i suoi meccanismi di applicazione, emettendo avvertimenti a diverse organizzazioni che avevano utilizzato banner sui cookie fuorvianti o installato illegalmente cookie di tracciamento senza consenso valido.
La cancellazione non si limita ai dati personali presenti nel tuo CRM — si applica anche a cookie e tracker, legati direttamente ai meccanismi di consenso.
In base al GDPR e alle norme ePrivacy, il consenso per i cookie deve essere libero, specifico e revocabile. La legge dell’UE stabilisce che il consenso può essere ritirato in qualsiasi momento e, in tal caso, tutti i cookie pertinenti devono essere eliminati.
Eppure, audit sul campo rivelano gravi casi di non conformità: una indagine del 2024 su 20.000 domini ha rilevato che:
19,9% ha reso la revoca più difficile della concessione del consenso
57,5% non ha eliminato i cookie dopo la revoca del consenso
Alcuni hanno omesso la revoca verso terze parti, consentendo il proseguimento del tracciamento
Inoltre, circa il 50% dei siti web imposta “cookie intrattabili” che restano anche dopo il rifiuto, spesso per più di 10 giorni.
La mancata conformità nella gestione di cookie e consensi può essere considerata una violazione del diritto alla cancellazione, esponendo così l’organizzazione a controlli più severi e sanzioni.
Oltre a generare costi imprevedibili, i sovraccarichi commerciali e tecnici diventano un problema quando sempre più persone iniziano a esercitare i propri diritti in materia di privacy. In particolare, per quanto riguarda i cookie, ogni interazione con un banner genera registrazioni, audit sui cookie e integrazione con sistemi di gestione del consenso, aumentando complessità e costi — elementi che devono essere parte della strategia complessiva per la conformità al diritto alla cancellazione.
Molti di questi oneri sono aggravati dal fatto che le organizzazioni non hanno una chiara visione di dove risiedano effettivamente tutti i dati dei consumatori e di come (o se) abbiano raccolto un consenso valido per i cookie installati e i dati successivamente raccolti.
Per poter gestire il flusso crescente di richieste di cancellazione, è necessario un nuovo approccio alla privacy e alla gestione del consenso. Per prepararsi a questa nuova era di applicazione più rigorosa, è il momento di fare il punto e investire in alcune azioni chiave:
Mappare i flussi di dati tra sistemi interni e di terze parti, evidenziando luoghi di archiviazione, limiti di conservazione e trasferimenti a terzi.
Creare flussi di lavoro automatizzati per verificare l’identità, tracciare le richieste, individuare i dati, avviare la cancellazione e inviare conferme.
Mantenere registri di audit con prove della cancellazione e comunicazioni.
Comprendere i quadri giuridici e le eccezioni
Sapere quando la cancellazione può essere legittimamente rifiutata.
Sapere come spiegare queste eccezioni.
Prepararsi alle indagini regolamentari
Con gli audit CEF attivi, aspettarsi che le DPA richiedano informazioni nell’ambito di indagini conoscitive. Preparare la documentazione probatoria, comprese politiche, registri e comunicazioni.
Potenziare le capacità di cancellazione per evitare sanzioni amministrative e danni reputazionali.
Assicurarsi che il CMP supporti la revoca in tempo reale, la cancellazione automatica dei cookie e la comunicazione con terze parti. Eseguire audit per rilevare cookie intrattabili.
Gestire la cancellazione come parte di una strategia globale di privacy
Coordinare i processi tra team legali, di conformità e IT.
Includere cookie e consenso nella strategia di privacy complessiva.
L’era della gestione passiva dei dati è finita. Nell’ambito della EDPB’s 2025CEF enforcement drive, le aziende devono migliorare le proprie operazioni di privacy, in particolare nelle aree di cancellazione e gestione dei cookie basata sul consenso. La posta in gioco è alta: costi di elaborazione manuale nell’ordine di diverse centinaia di migliaia di euro, investimenti in infrastrutture automatizzate, potenziali multe e danni reputazionali.
Per rimanere conformi e competitivi:
Automate il più possibile il flusso di lavoro per la cancellazione e la revoca.
Track e audit consensi e cancellazioni in tempo reale.
Document le motivazioni legali di eventuali rifiuti o ritardi.
Prioritize la preparazione alle richieste delle DPA: le revisioni interne dovrebbero riflettere la profondità di una probabile indagine.
Adopt a comprehensive consent management platform.
Seguendo questi passaggi oggi, le organizzazioni possono trasformare la cancellazione da un problema di conformità a un’opportunità per trust-building opportunity.
©2025 CookieHub ehf.
