Il 18 febbraio 2026, il Comitato europeo per la protezione dei dati(EDPB) ha pubblicato la relazione finale dell’azione coordinata sul diritto alla cancellazione ai sensi dell’articolo 17 del GDPR. L’indagine, condotta nel 2025 da 32 autorità di controllo su 764 responsabili del trattamento dei dati, tra cui aziende ed enti pubblici, ha evidenziato sette principali criticità. Tra questi spiccano la mancanza di procedure interne efficaci, le informazioni insufficienti fornite agli interessati, l’uso di tecniche di anonimizzazione poco sicure e l’incertezza sui periodi di conservazione e sulla cancellazione dei dati nei backup.

Il rapporto evidenzia il divario che ancora esiste tra il concetto tecnico di “cancellazione” e la sua corretta applicazione legale. In effetti, molti responsabili del trattamento dei dati considerano operazioni quali hashing (cioè la trasformazione dei dati in una stringa alfanumerica tramite un algoritmo), mascheramento (oscuramento parziale dei dati, come ad esempio nascondere una parte del codice fiscale) o altri metodi reversibili (tecniche che rendono meno visibile il legame con l’individuo ma non lo eliminano) siano equivalenti alla cancellazione permanente. Tuttavia, se i dati rimangono riconducibili a un individuo, continuano a essere soggetti alle disposizioni del GDPR.

Allo stesso modo, l’obbligo non si considera assolto se le informazioni rimangono nei sistemi di backup o di disaster recovery, anche se non sono più visibili nei sistemi operativi.

L’EDPB sottolinea che il diritto all’oblio non si misura più solo in termini formali, ma in termini di effettiva capacità organizzativa e tecnologica di garantire la cancellazione effettiva e definitiva dei dati.