L'art. 11 del Codice richiede che il trattamento dei dati avvenga in modo lecito e corretto, che sia chiaro e lecito lo scopo, nonché sia garantita la pertinenza, la completezza del dato e sia assicurato il diritto all'oblio (il dato deve essere trattato solo per il periodo necessario al perseguimento dello scopo).

Il Codice prescrive che i dati personali oggetto di trattamento siano "custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. (art. 31 del Codice)."

Non rispettare tale disciplina equivale a svolgere un trattamento illecito del dato personale che è sanzionato anche penalmente.

Un trattamento corretto ai sensi della legge può essere garantito solo attraverso un monitoraggio continuo sulle modalità e sulle finalità del trattamento dei dati personali da parte dell'Ente, per verificarne la rispondenza al dettato normativo.

L'esigenza di un continuo monitoraggio è tanto più avvertita se si considera il gravoso onere probatorio che la legge impone in capo al Titolare del trattamento.

L'equiparazione del trattamento dei dati personali all'esercizio di attività pericolosa ai sensi dell'art. 2050 c.c. (art. 15 D.lgs. 196/03) obbliga il Titolare, tra l'altro, a dover dimostrare e provare di avere adottato tutte le misure necessarie a garantire la correttezza dei trattamenti e la sicurezza dei dati.

Inoltre, l'allegato B del Codice impone al Titolare di effettuare controlli periodici, con cadenza almeno annuale, per l'individuazione dell'ambito di trattamento consentito ai singoli incaricati e per gli addetti alla gestione o alla manutenzione degli strumenti elettronici; nonché aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità degli strumenti elettronici e a correggerne i difetti.

Il corretto trattamento dei dati, ai sensi del Codice, deve quindi prevedere il controllo periodico (dall'interno e/o dall'esterno dell'Ente) della corretta applicazione di tutti gli adempimenti previsti.