Il Regolamento si basa sul principio di responsabilizzazione del titolare del trattamento.
Il principio di Accountability prevede che il titolare debba adottare le misure che garantiscano un trattamento conforme al Regolamento e che debba dimostrarne la concreta attuazione e l’oggettiva efficacia.
Il criterio di funzionamento era già noto all’interno dell’Ordinamento giuridico italiano per ciò che concerne la normativa sulla Responsabilità delle Persone Giuridiche e delle Società, contenuta nel D.Lgs. 8 giugno 2001 n.31.
Per fare questo non sono previste delle misure specifiche da adottare, per cui spetta al titolare fare una valutazione per capire quale siano le più idonee apparendo, comunque, imprescindibile l’impostazione, in Azienda, di un vero e proprio “Modello” volto ad assicurare l’adeguamento e la conformità dei trattamenti effettuati alla normativa vigente.
Quindi il titolare dovrà prima di tutto effettuare una analisi preventiva delle misure da adottare per rendere i nuovi servizi ed i nuovi prodotti conformi al Regolamento (c.d. Privacy by design). In questo contesto potrebbe essere utile ricorrere a specialisti che potrebbero assumere il ruolo di Data Protection Designer.
Inoltre dovrà fare in modo che il rispetto delle previsioni del Regolamento avvenga il più possibile in modo automatico ed entri a fare parte del flusso informativo per evitare che non sia rispettato (c.d. Privacy by default).
La Privacy by design e la Privacy by default servono per attuare e per dimostrare l’attuazione del Regolamento ma anche per delimitare il perimetro della responsabilità del titolare.
Tra le misure che il titolare deve necessariamente attuare rientrano la DPIA, la nomina del DPO se ricorrono le condizioni di cui all’art. 37.1, l’adozione delle BCR per il trasferimento di dati extra-UE tra società infragruppo e, non ultimo, il Registro dei trattamenti (art. 30) in cui il titolare deve indicare tutti i trattamenti.
Il Registro dei trattamenti, la DPIA, gli archivi di nomine e incarichi sono poi strumenti essenziali per fornire la prova dell’attuazione delle misure previste.
Possono essere adottate anche misure volontarie, quali i meccanismi di gestione dei reclami e dei data breach, gli audit interni o esterni.
In caso di data breach il titolare è tenuto entro 72 ore ad avvisare l’Autorità di controllo ed anche l’interessato in caso di violazioni che possono comportare danni nella sua sfera personale.