Con il Regolamento n. 679/2016, viene introdotto un quadro normativo tutto incentrato sui doveri e la responsabilizzazione dei Titolari del trattamento (“accountability”), rovesciando la prospettiva della disciplina di riferimento in materia di protezione dei dati personali. La Direttiva 95/46/CE, infatti, era tutta incentrata sui diritti dell’interessato, mentre il testo del nuovo Regolamento si sviluppa essenzialmente su processi, attività, misure tecniche ed organizzative, sanzioni e obblighi rivolti a Titolare (e Responsabile del trattamento).
Tale principio, sebbene introdotto per la prima volta dalle nuove disposizioni, era già stato preso in esame dal Gruppo di Lavoro ex art. 29 nel parere n. 3/2010, all’interno del quale si suggeriva l’inserimento di una disposizione generale per “riaffermare e rafforzare la responsabilità dei responsabili del trattamento”, strutturata in maniera da prevedere l’obbligo di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati, oltre che la necessità di dimostrare che tali misure siano state in concreto implementate, fornendone la prova qualora venga espressamente richiesto.
Tale parere, in sostanza, anticipa concetti ora espressamente previsti all’interno del RGDP, indicando a titolo esemplificativo una serie di misure volte al perseguimento del principio di “accountability”. Tra queste, la necessità di procedere alla pianificazione dei nuovi trattamenti per garantire il rispetto dei requisiti normativi (privacy by design nel RGDP), la mappatura delle operazioni di trattamento (registro delle attività di trattamento nel RGDP), la creazione di procedure trasparenti finalizzate alla gestione dei diritti di accesso, rettifica e cancellazione da parte degli interessati (rafforzati, all’interno del RGDP, con l’introduzione del diritto all’oblio). Oltre a queste, all’interno del medesimo parere si suggerisce di prevedere, in circostanze specifiche, l’effettuazione di valutazioni d’impatto sulla privacy, oltre che di definire procedure interne per la gestione e la comunicazione efficace di violazioni della sicurezza. Da ultimo, il Gruppo di Lavoro pone l’accento sulla necessità di garantire che le misure adottate non si limitino ad essere un adempimento formale, ma vengano effettivamente applicate in concreto e verificate attraverso audit periodici, condotti sia da parte di soggetti interni (“internal audits”), che esterni (“external audits”).