In Capire la protezione dei dati: il regolamento UE in poche parole, l’accuratezza (insieme all’integrità) è stata motivata dal fatto che l’accuratezza dei dati è necessaria per essere adatti agli scopi dichiarati. Qualsiasi elaborazione che non sia adatta allo scopo non può giustificare un guadagno di potere su un soggetto di dati. Vedi Divieto di trattamento che non è adatto allo scopo per i dettagli.
Oltre all’idoneità allo scopo, il trattamento di dati inesatti può avere conseguenze negative per gli interessati. Queste possono andare da un maggiore sforzo necessario per esercitare i propri diritti, alla negazione di diritti e opportunità, fino a conseguenze finanziarie o legali negative. Mentre il trattamento che è affetto da tali difetti non è probabilmente adatto allo scopo, in aggiunta violerebbe il principio di equità (vedi sopra).
Il GDPR definisce il principio come segue:
Definizione nell’art. 5(1)(d) GDPR:
I dati personali devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per garantire che i dati personali inesatti, tenuto conto delle finalità per le quali sono trattati, siano cancellati o rettificati senza indugio (“accuratezza”); |
Di seguito vengono discussi vari aspetti dell’accuratezza in modo più dettagliato:
Come si può valutare la precisione?
Il concetto di accuratezza deve essere oggettivo. Deve essere possibile verificare se i dati sono accurati o meno senza dubbi e diversi verificatori devono arrivare alla stessa valutazione. Questo è possibile solo quando i dati rappresentano fatti verificabili. Questo non è per esempio il caso dei dati che rappresentano un’espressione o un’opinione di una persona.
La verifica dell’accuratezza dei dati comporta quindi generalmente la verifica dei fatti che stanno alla base dei dati. Per esempio, per verificare che un numero di telefono cellulare appartenga effettivamente a una persona, si potrebbe inviare e ricevere un messaggio di prova con un codice casuale su un altro canale.
In alcune situazioni, può essere l’interessato a fornire al titolare del trattamento la necessaria documentazione dei fatti che permettono una verifica. Ad esempio, una persona interessata può fornire un certificato di residenza rilasciato da un’autorità di fiducia al fine di sostenere la verifica di un indirizzo di residenza.
Cosa significa “aggiornato”?
Nel valutare se i dati sono aggiornati, si deve tener conto delle finalità del trattamento. Per esempio, un venditore può memorizzare l’indirizzo di consegna di una persona interessata, mentre la persona interessata si è trasferita nel frattempo in una nuova residenza. Se lo scopo del trattamento è quello di consegnare effettivamente la merce alla persona interessata, l’indirizzo è evidentemente obsoleto e i dati non sono idonei allo scopo. Se invece lo scopo del trattamento è la fatturazione di merci già consegnate, il vecchio indirizzo deve essere considerato aggiornato.
Come si scopre l’imprecisione dei dati?
I dati inesatti (compresi quelli non aggiornati) devono essere rettificati o cancellati dal titolare del trattamento senza indugio. Ma come si scopre effettivamente l’inesattezza dei dati e quali titolarità hanno i titolari del trattamento?
Il meccanismo probabilmente più importante per i titolari del trattamento per rilevare l’inesattezza dei loro dati è la notifica da parte della persona[1] interessata. In particolare, la persona interessata deve essere a conoscenza del trattamento (vedi art. 13 e 14 GDPR) e può accedere ai dati utilizzati dal titolare del trattamento (vedi art. 15 GDPR). Su questa base, possono verificare l’esattezza dei loro dati e, se necessario, invocare il loro diritto di chiedere la rettifica dei loro dati (cfr. art. 16 GDPR). In questo caso, un titolare del trattamento adempie all’obbligo di accertare l’esattezza sostenendo adeguatamente il diritto di rettifica nel loro trattamento.
Quando i dati sono raccolti direttamente dagli interessati, è per lo più ragionevole per un titolare del trattamento presumere che i dati ottenuti siano accurati (almeno al momento della raccolta). La situazione può essere diversa quando i dati sono raccolti da un’altra fonte. In questo caso, è obbligo del titolare del trattamento verificare l’accuratezza dei dati ottenuti, almeno per quanto riguarda l’idoneità agli scopi dichiarati del trattamento e alle eventuali conseguenze negative che le imprecisioni possono avere per gli interessati.
Per alcuni elementi di dati, il fatto che siano stati raccolti direttamente dalle persone interessate può non essere sufficiente per un titolare del trattamento per presumere l’accuratezza. Questo è in particolare il caso quando una richiesta potenzialmente imprecisa porta a benefici per l’interessato. In questi casi, il titolare del trattamento può avere bisogno di realizzare una verifica dei dati in anticipo come parte integrante della raccolta dei dati. Questo è possibile per esempio chiedendo agli interessati di fornire una certificazione da parte di un’autorità fidata dei fatti dichiarati.
- Altri meccanismi includono per esempio i controlli di coerenza, la varianza eccessiva o la mancanza di correlazione attesa. ↑