Ricerca e cancellazione dei propri dati online: la guida

Alzi la mano chi, almeno una volta nella vita, non ha mai googlato il proprio nome. Googlare è diventato un verbo, il correttore del programma di video scrittura non lo segna nemmeno come errore, il che la dice lunga. Questo rito moderno, più diffuso del caffè la mattina appena svegli, ormai non riguarda più solo le persone famose, ma tutti noi. Tutti noi, infatti, chi più, chi meno, abbiamo una presenza online, fatta di tracce e di dati non cancellati, lasciati nel corso del nostro cammino come le briciole di Pollicino di ritorno dal bosco verso casa, e a tutti sarà venuta almeno una volta la tentazione di vedere quanto e che cosa la rete sa su di noi. Può essere un momento di noia, o di ben mascherato narcisismo, ma può anche finire con la sensazione che la nostra identità digitale ci sia scappata di mano da un pezzo.
Perché è altamente probabile che ci sia qualcosa online che ci riguarda. Forse un vecchio curriculum su un portale dimenticato. Forse la foto della laurea con la camicia troppo stretta. Forse (peggio) un vecchio indirizzo di casa, un numero di telefono, una multa notificata via PEC e pubblicata online dal Comune. Oppure, ancora peggio, immagini che non avremmo mai voluto vedere pubblicate. E invece sono lì, a disposizione di chiunque, indicizzate, condivise, scaricate, moltiplicate.
Il punto è: come facciamo a sapere se ci siamo? E se ci siamo, come ce ne liberiamo?
Vediamolo insieme, con questa mini-guida in cui affrontiamo un tema alla volta: dal metodo d’indagine personale alle leve giuridiche più efficaci, fino all’intervento del Garante per la protezione dei dati personali, che può ordinare la cancellazione e metterci al riparo, almeno da Google. Dai social un po’ meno, ma ci arriviamo. Per approfondire questi temi consigliamo il volume Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon, e abbiamo organizzato il corso di formazione Master in Cybersecurity e compliance integrata

1. Come capire se i tuoi dati sono online

Cominciamo con la parte facile, almeno in apparenza: la diagnosi. Ovvero: sono o non sono su Internet?
1. Googla te stesso (e poi fallo ancora)
Sì, sembra banale. Ma farlo bene richiede metodo. Non limitarti al tuo nome e cognome: prova varianti, combinazioni, soprannomi, nickname, email, luoghi di lavoro, città, scuole frequentate. Aggiungi parole chiave come “foto”, “telefono”, “indirizzo”, “documento”, “blog”, “sentenza”. Passa a Google Immagini. Guarda nella sezione “notizie”. Poi cambia motore: Bing, DuckDuckGo, persino Yandex (se hai nervi saldi).
2. Usa la ricerca inversa per le immagini
Strumenti come Google Lens, TinEye, o Yandex Images ti permettono di caricare una tua foto (o una di cui sospetti la diffusione) e scoprire se è pubblicata altrove. È il metodo più efficace per scovare foto rubate, magari usate in profili falsi o siti poco raccomandabili.
3. Controlla i social e i portali
Fai un giro sui social (i tuoi, ma anche quelli degli altri: amici, colleghi, ex). Cerca il tuo nome nei gruppi pubblici. Controlla i siti delle scuole, delle università, delle aziende per cui hai lavorato. Cerca nei portali di annunci (Subito, Bakeca, Idealista). E non dimenticare i registri online delle pubbliche amministrazioni: quelli, purtroppo, sono una miniera.
4. Verifica le fughe dai data broker
Ci sono servizi – legittimi o borderline – che collezionano e rivendono dati personali: nomi, email, numeri di telefono, movimenti catastali, cronologie di navigazione. Alcuni (tipo Spokeo, Whitepages, BeenVerified) operano in USA. Altri sono in Europa, meno noti ma altrettanto attivi. Anche lì potresti esserci finito, magari per un consenso dato senza pensarci. Per approfondire questi temi consigliamo il volume Formulario commentato della privacy, disponibile su Shop Maggioli e su Amazon.

2. E se mi trovo online cosa posso fare per cancellarmi?

La risposta è: molto. Ma servono calma, metodo e una buona dose di spirito combattivo. Perché Internet è il regno del moltiplicarsi, non del cancellare. Ma tu hai dalla tua parte la legge. E non una legge qualunque: il GDPR, comunemente noto come la legge sulla privacy, ma che in realtà è il Regolamento Europeo per la protezione dei dati personali.
1. Primo passo: contatta il titolare del trattamento
Hai trovato un sito che pubblica i tuoi dati senza autorizzazione? Scrivi. Formalmente. Gentilmente, ma con fermezza. Ricorda che, ai sensi degli articoli 15 e 17 del GDPR, hai diritto di ottenere:

• accesso ai dati;
• rettifica;
• cancellazione;
• limitazione del trattamento;
• opposizione.

Il titolare ha 30 giorni per rispondere. Se tace o nega, puoi fare reclamo al Garante.
Esempio di testo:
“Buongiorno, ho riscontrato la presenza sul vostro sito del mio nominativo/fotografia/dato personale. In quanto interessato, ai sensi degli articoli 15 e 17 del Regolamento (UE) 2016/679, chiedo l’immediata rimozione del contenuto in questione e la conferma dell’avvenuta cancellazione entro il termine previsto di 30 giorni. In mancanza, mi riservo di adire il Garante per la protezione dei dati personali per la tutela dei miei diritti, ai sensi della normativa vigente.”
Non serve un avvocato e di solito funziona.
2. Secondo passo: deindicizzazione dai motori di ricerca
Se il contenuto è pubblicato altrove, ma visibile tramite Google, puoi chiedere la deindicizzazione. Attenzione: non significa cancellare la pagina, ma far sì che non compaia più nei risultati quando qualcuno cerca il tuo nome. Siccome c’è un detto, tra il serio e il faceto, che dice che “non c’è posto migliore, per nascondere qualcosa, della seconda pagina di Google”, deindicizzare un contenuto fa già molto nella lunga strada verso l’oblio.
Google offre un modulo specifico, differenziato per contenuti personali, immagini intime non consensuali, dati finanziari, documenti d’identità, ecc. (qui la pagina di supporto).
3. Terzo passo: reclamo al Garante Privacy
Se il sito non risponde, o se Google nega la deindicizzazione, puoi presentare reclamo al Garante per la protezione dei dati personali, anche in questo caso senza bisogno di un avvocato. Il modulo è disponibile sul sito ufficiale, nella sezione “Modulistica e servizi online”.
Il Garante può:

• ordinare la cancellazione o la deindicizzazione;
• sanzionare il titolare del trattamento;
• imporre misure correttive;
• notificare il provvedimento anche ad altri soggetti (es. Facebook, Google, X).

Il procedimento è gratuito, ma richiede una buona articolazione dei fatti e un po’ di pazienza.

3. Ma cosa dice esattamente il Garante?

Nel suo vademecum ufficiale (docweb 10163331), il Garante per la protezione dei dati personali ribadisce che non tutto può restare online per sempre. Non se riguarda dati personali non più attuali, lesivi, irrilevanti, sproporzionati. E soprattutto non se pubblicati contro la volontà dell’interessato.
Il documento evidenzia:

• la possibilità per chiunque di controllare la presenza dei propri dati nel web;
• il diritto di chiedere la rimozione agli amministratori di siti, blog, social network;
• il ruolo attivo del Garante nel cancellare, deindicizzare, oscurare contenuti lesivi;
• il riferimento all’articolo 17 del GDPR, sul diritto alla cancellazione (“diritto all’oblio”).

E non manca un monito: la responsabilità è anche di chi pubblica, con leggerezza, contenuti altrui. Foto, video, post, commenti: tutto può rivelarsi una violazione del GDPR. Anche se fatto “per gioco”.

4. Quali dati puoi far rimuovere?

I casi più frequenti riguardano:

• foto intime pubblicate senza consenso (revenge porn, ma non solo);
• numeri di telefono inseriti in annunci (es. “chiama questa ragazza, è single”);
• indirizzi di casa o lavoro pubblicati senza motivo;
• vecchie sentenze o procedimenti penali ormai estinti, ma ancora indicizzati;
• commenti diffamatori o recensioni false;
• documenti pubblicati da amministrazioni senza oscuramento di dati sensibili;
• profili fake o account creati a nome tuo da terzi.

In tutti questi casi, il diritto alla cancellazione è pienamente esercitabile. E non è solo una facoltà: può diventare una necessità per la tua dignità e sicurezza.

5. I limiti del diritto all’oblio

Naturalmente, il diritto all’oblio non è assoluto. Secondo la Corte di Giustizia UE (sentenza Google Spain, C-131/12), va bilanciato con:

• il diritto all’informazione;
• la libertà di stampa;
• l’interesse pubblico alla notizia.

In sintesi: se sei un personaggio pubblico, o se l’informazione ha rilievo sociale (es. un processo per reati gravi), non puoi sempre pretendere la cancellazione. Ma il bilanciamento va fatto caso per caso. E spesso, anche in casi borderline, la deindicizzazione è concessa almeno in parte (es. per limitare l’accesso da ricerche nominali).

6. Conclusione: no, non sei un dato

Siamo abituati a pensare che “tanto ormai è tutto online”, che “non si può fare nulla”, che “Internet non dimentica”. Io stessa ho pronunciato più volte questa frase.
Ma se è vero che Internet non dimentica, è anche vero che possiamo in qualche modo indurlo a farlo dimenticare a forza di legge. Perché la privacy, oggi, non è o per lo meno non dovrebbe essere più un lusso, ma una forma di autodifesa. E imparare a esercitarla è un atto politico, culturale e personale.
Come disse il compianto Garante europeo Giovanni Buttarelli: “Il diritto alla protezione dei dati è un diritto alla libertà. Senza privacy, non c’è dignità, non c’è autonomia, non c’è persona.”

Formazione per professionisti

Master in Cybersecurity e compliance integrata
Il Master è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il Master esplora: 
•  L’evoluzione della strategia europea di cybersicurezza
•  L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori
•  Il perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato
•  Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA)
•  Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa
•  Ruoli e poteri dell’ACN: atti attuativi e misure tecniche
•  Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi.
>>>Per info ed iscrizioni<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!