250 - Definición y elementos principales del principio de exactitud en el tratamiento de datos personales

La exactitud es un principio regidor del tratamiento de datos personales que garantiza que estos sean fieles respecto a la información del propio interesado. Es importante matizar, igualmente, que la existencia de datos inexactos o desactualizados no siempre serán responsabilidad del responsable de tratamiento. 

Artículo 5.1.d) del RGPD

«d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan ("exactitud")».

Artículo 4 de la LOPDGDD

«1. Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos serán exactos y, si fuere necesario, actualizados.

2. A los efectos previstos en el artículo 5.1.d) del Reglamento (UE) 2016/679, no será imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:

a) Hubiesen sido obtenidos por el responsable directamente del afectado.

b) Hubiesen sido obtenidos por el responsable de un mediador o intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisión al responsable. El mediador o intermediario asumirá las responsabilidades que pudieran derivarse en el supuesto de comunicación al responsable de datos que no se correspondan con los facilitados por el afectado.

c) Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al artículo 20 del Reglamento (UE) 2016/679 y lo previsto en esta ley orgánica.

d) Fuesen obtenidos de un registro público por el responsable».

Es decir, el responsable del tratamiento no será culpable de la inexactitud de los datos si adopta todas las medidas necesarias para que se supriman o rectifiquen cuando sean:

• Obtenidos directamente del afectado.
• Obtenidos de un mediador o intermediario.
• Obtenidos de otro responsable.
• Obtenidos de un registro público.

A tenor de lo anterior, el considerando 71 del RGPD dispone que «(...) a fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o tratamiento que dé lugar a medidas que produzcan tal efecto».

A TENER EN CUENTA. Véanse también los siguientes artículos del RGPD:

- Derecho de rectificación (artículo 16 del RGPD).

- Derecho de supresión (artículo 17 del RGPD).

- Derecho a la limitación del tratamiento (artículo 18 del RGPD).

- Derecho a la portabilidad (artículo 20 del del RGPD).

CUESTIONES

1. ¿Qué artículos de la LOPDGDD se refieren al principio de exactitud?

La LOPDGDD hace referencia al principio de exactitud en los siguientes preceptos:

- Derecho de rectificación (artículo 14 de la LOPDGDD).

- Sistemas de información crediticia (artículo 20 de la LOPDGDD).

- Derecho al olvido en búsquedas de Internet (artículo 93 de la LOPDGDD).

- Derecho al olvido en servicios de redes sociales y servicios equivalentes (artículo 94 de la LOPDGDD).

- Potestad de verificación de las Administraciones públicas (D.A. 8.ª de la LOPDGDD).

2. ¿Deben las bases de datos administrativas contener la anulación de una resolución que impone la expulsión del territorio nacional?

En este sentido, la Sala de lo Contencioso del Tribunal Superior de Justicia de Madrid, en su sentencia n.º 525/2020, de 9 de julio, ECLI:ES:TSJM:2020:9940, declara que:

«(...) la estimación alcanza solo a ordenar que las bases de datos policiales y administrativas reflejen la anulación judicial de la resolución de expulsión, que es el pronunciamiento adecuado al principio de exactitud de los datos reconocido (...) en el art. 4.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos serán exactos y, si fuere necesario, actualizados)».

3. ¿Se considerará infracción la inexactitud del acuerdo con respecto al tratamiento?

Será considerada infracción leve la conducta consistente en: «h) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artículo 26 del Reglamento (UE) 2016/679 o la inexactitud en la determinación de las mismas»  [artículo 74.h) de la LOPDGDD].

4. ¿Se considerará infracción facilitar información inexacta a la Autoridad de protección de datos?

Será considerada infracción leve el comportamiento consistente en: «o) Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa, conforme al artículo 36 del Reglamento (UE) 2016/679» [artículo 74.o) de la LOPDGDD].