En Comprender la protección de datos: el reglamento de la UE en pocas palabras, la exactitud (junto con la integridad) estaba motivada por el hecho de que la exactitud de los datos es necesaria para que sean aptos para los fines declarados. Cualquier tratamiento que no sea apto para la finalidad no puede justificar una ganancia de poder sobre un sujeto de datos. Para más detalles, véase Prohibición de tratamiento no adecuado a los fines.
Además de la adecuación a la finalidad, el tratamiento de datos inexactos puede tener consecuencias negativas para los interesados. Éstas pueden ir desde un mayor esfuerzo necesario para ejercer sus derechos, pasando por la negación de derechos y oportunidades, hasta consecuencias financieras o jurídicas negativas. Si el tratamiento que se ve afectado por estos defectos no es apto para la finalidad, además violaría el principio de equidad (véase 0 más arriba).
El RGPD define el principio de la siguiente manera:
| Definición en el Art. 5(1)(d) del RGPD:
Los datos personales serán exactos y, en caso necesario, se mantendrán actualizados; se adoptarán todas las medidas razonables para garantizar que los datos personales que sean inexactos, habida cuenta de los fines para los que se tratan, se supriman o rectifiquen sin demora (“exactitud”); |
A continuación, se analizan con más detalle varios aspectos de la precisión:
¿Cómo se puede evaluar la precisión?
El concepto de exactitud debe ser objetivo. Debe ser posible verificar si los datos son exactos o no sin lugar a dudas y diferentes verificadores deben llegar a la misma evaluación. Esto sólo es posible cuando los datos representan hechos verificables. Este no es el caso, por ejemplo, de los datos que representan una expresión u opinión de una persona.
Por lo tanto, la verificación de la exactitud de los datos suele implicar la verificación de los hechos que subyacen a los datos. Por ejemplo, para verificar que un número de teléfono móvil pertenece realmente a una persona, se podría enviar un mensaje de prueba con un código aleatorio y recibirlo de vuelta por otro canal.
En algunas situaciones, puede ser el interesado quien proporcione al responsable del tratamiento la documentación necesaria de los hechos que permiten una verificación. Por ejemplo, un sujeto de datos puede proporcionar un certificado de residencia emitido por una autoridad de confianza para apoyar la verificación de una dirección de residencia.
¿Qué significa “al día”?
Al evaluar si los datos están actualizados, hay que tener en cuenta los fines del tratamiento. Por ejemplo, un vendedor puede almacenar la dirección de entrega de un interesado cuando éste se ha trasladado a una nueva residencia. Si la finalidad del tratamiento es la entrega efectiva de bienes al interesado, la dirección está evidentemente desfasada y los datos no son adecuados para su finalidad. Sin embargo, si la finalidad del tratamiento es la facturación de bienes ya entregados, la antigua dirección debe considerarse actualizada.
¿Cómo se descubre la inexactitud de los datos?
El responsable del tratamiento debe rectificar o eliminar sin demora los datos inexactos (incluidos los obsoletos). Pero, ¿cómo se descubre realmente la inexactitud de los datos y qué responsabilidades tienen los responsables del tratamiento?
El mecanismo probablemente más importante para que los responsables del tratamiento detecten la inexactitud de sus datos es la notificación por parte del interesado[1]. En particular, el interesado debe ser consciente del tratamiento (véanse los artículos 13 y 14 del RGPD) y puede acceder a los datos utilizados por el responsable del tratamiento (véase el artículo 15 del RGPD). Sobre esta base, puede verificar la exactitud de sus datos y, si es necesario, invocar su derecho a solicitar la rectificación de sus datos (véase el artículo 16 del RGPD). En este caso, el responsable del tratamiento cumple la obligación de comprobar la exactitud apoyando adecuadamente el derecho de rectificación en su tratamiento.
Cuando los datos se recogen directamente de los interesados, en la mayoría de los casos es razonable que el responsable del tratamiento asuma que los datos obtenidos son exactos (al menos en el momento de la recogida). La situación puede ser diferente cuando los datos se recogen de otra fuente. En este caso, el responsable del tratamiento tiene la obligación de verificar la exactitud de los datos obtenidos, al menos en lo que respecta a la adecuación a los fines declarados del tratamiento y a las consecuencias negativas que las inexactitudes puedan tener para los interesados.
En el caso de algunos elementos de datos, el hecho de que hayan sido recogidos directamente de los interesados puede no ser suficiente para que un responsable del tratamiento asuma su exactitud. Este es el caso, en particular, cuando una reclamación potencialmente inexacta conlleva beneficios para el interesado. En estos casos, el responsable del tratamiento puede tener que realizar una verificación de los datos por adelantado como parte integrante de la recogida de datos. Esto es posible, por ejemplo, solicitando a los sujetos de los datos que proporcionen una certificación por parte de una autoridad de confianza de los hechos reclamados.
- Otros mecanismos son, por ejemplo, los controles de coherencia, la varianza excesiva o la falta de correlación prevista. ↑