L’art. 5, comma 1, lettera d) del GDPR stabilisce che il dato personale deve essere, tra le altre cose, “esatto e, se necessario, aggiornato: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”.
Il principio di esattezza del dato implica che, se il dato raccolto è inesatto, il trattamento non è lecito: ciò impone al Titolare del trattamento di verificare periodicamente l’attendibilità dei dati personali, anche senza un’espressa richiesta dell’Interessato o del Garante.
Il Titolare deve, quindi:
- adottare le misure necessarie per rettificare o eliminare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
- verificare la correttezza dei dati raccolti con quelli inerenti lo stesso interessato ma raccolti in momenti diversi o che abbiano diversa provenienza.
Il dato inesatto potrebbe anche non essere errato, ma semplicemente incompleto: per questa ragione, l’art. 16 del GDPR prevede la possibilità per l’interessato di chiedere e ottenere – senza ingiustificato ritardo – la rettifica o l’integrazione dei propri dati personali nella disponibilità del Titolare.
Il concetto di dato esatto deve, comunque, essere tenuto distinto da quello di dato integro: quest’ultimo caso si ha quando i dati non possono essere alterati sia volontariamente sia a causa di un malfunzionamento o di un errore.
Si può, quindi, sostenere che il concetto di dato esatto è più ampio di quello di dato integro dato che, per garantire l’esattezza, il Titolare del trattamento deve monitorare i dati per tutto il loro ciclo di vita: quando li raccoglie (attraverso il caricamento all’interno di una banca dati) in occasione dei vari trattamenti e fino alla loro cancellazione.
Per ottenere questo risultato occorre, quindi, disporre una serie di accorgimenti per limitare al minimo la possibilità di errore, con controlli sia preventivi sia successivi.
Nella fase di caricamento dei dati all’interno di un database occorre, in particolare, porre molta attenzione alle seguenti fasi:
- validazione dei dati;
- verifica di coerenza dei dati inseriti;
- segnalazione di eventuali errori;
- rifiuto di accettare dati incompleti;
- utilizzo integrale delle maschere dei form;
- utilizzo di applicativi di caricamento dei dati user friendly;
- standardizzazione delle schermate e dei comandi;
- tracciatura delle operazioni di caricamento (tempo, autore, dato inserito).
Un ruolo fondamentale riveste, anche in questo caso, la formazione del personale, soprattutto quando i dati devono essere caricati manualmente su diverse applicazioni con caratteristiche diverse, perché, in queste situazioni, le possibilità di errori aumentano esponenzialmente.
Poiché ogni trattamento è potenzialmente in grado di generare rischi per il mantenimento dell’esattezza del dato, è molto importante impostare idonee misure di controllo per verificare, soprattutto nel tempo, la sussistenza di tale requisito, in ossequio al principio di privacy by design sancito dall’art. 25 del GDPR.