GDPR e principio di esattezza del dato personale: cosa significa?

La nuova normativa europea GDPR (Reg. n. 2016/679) stabilisce il principio di esattezza del dato personale. Secondo tale principio il dato deve essere “esatto e, se necessario, aggiornato: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”.

Di conseguenza, se un dato raccolto risulta inesatto, il trattamento risulta illecito. Per tale motivo, il Titolare del trattamento è tenuto a verificare periodicamente la correttezza e la corrispondenza al vero dei dati raccolti, anche senza espressa richiesta dell’Interessato o del Garante, e ad adottare tutte le misure idonee per la cancellazione o la rettifica tempestiva dei dati inesatti rispetto alle finalità per le quali sono stati raccolti.

Riassumendo, secondo il principio di esattezza del dato personale, il Titolare deve:

– adottare tutte le misure idonee alla modifica o alla rettifica tempestiva dei dati inesatti rispetto alle finalità per le quali sono stati raccolti;

– controllare la correttezza dei dati raccolti, confrontandoli anche con i dati appartenenti allo stesso interessato ma raccolti in momenti diversi o che abbiano una differente provenienza.

Non serve che il dato sia inesatto, basta anche solo che questo sia incompleto, ed è proprio per tale motivo che l’art. 16 del Regolamento prevede la facoltà per l’interessato di richiedere ed ottenere dal Titolare (senza ingiustificato ritardo) che i propri dati vengano rettificati o modificati.

Dato “esatto”, inoltre, si distingue da dato “integro”. In quest’ultimo caso, infatti, rientrano tutte le alterazioni che può subire il dato derivanti da errore o da cause volontarie.

In conclusione, nel rispetto del principio di esattezza del dato personale, il Titolare è tenuto a monitorare per tutto il loro ciclo vitale i dati personali raccolti, dai primi momenti con cui vi entra a contatto e fino alla loro cancellazione. Sono necessari, quindi, una serie di accorgimenti sia preventivi che successivi per limitare il più possibile la possibilità di errore. Le principali fasi da tenere sott’occhio sono, quindi (senza pretesa di esaustività):

– fase della validazione e verifica della coerenza dei dati personali;

– segnalazione di eventuali errori o problematiche nella raccolta;

– rifiuto di raccolta dei dati incompleti o imprecisi;

– monitoraggio delle operazioni di caricamento (momento di caricamento, autore, tipo di dato inserito).

La formazione del personale ricopre quindi un ruolo principe nel panorama della compliance aziendale, soprattutto quando i dati devono essere caricati e raccolti manualmente dai vari soggetti di riferimento dell’azienda. In questi casi, infatti, il rischio dell’errore umano assume una concreta possibilità di manifestarsi. Tuttavia, l’adozione di idonee misure di controllo può facilitare il rispetto del principio di privacy by design sancito dall’art. 25 del GDPR.