Il principio di “accountabilily” è il principio cardine su cui si basa il GDPR.

Il termine anglosassone “accountability” viene tradotto in Italiano con “responsabilizzazione”, ossia un comportamento proattivo che non si esaurisce nel semplice adempimento normativo (conformità delle attività di trattamento con il regolamento come reca il considerando 74) e nel dare prova solo di questo adempimento ma ad esempio, come richiamato dalla norma del considerando 74, anche “dimostrare l’efficacia delle misure”, .

Dunque, l’obbligo di accountabiliity imposto dal GDPR, trova concreta attuazione nella disposizione di un privacy impact assessment per tutti i trattamenti/sistemi informatici che per natura, oggetto o finalità, presentino rischi specifici per i diritti e le libertà degli interessati

–   nei principi generali del GDPR;

– nella privacy by design, ossia la necessaria incorporazione di adeguate misure e procedure tecniche e organizzative fin dalla progettazione del processo e degli applicativi informatici di supporto;

– nella privacy by default, ossia l’obbligo di considerare tali misure come una “impostazione predefinita” per l’intero ciclo di vita dei dati personali.

Le misure tecniche e organizzative implementate dovranno essere adeguate a garantire un livello di sicurezza appropriato, in relazione allo stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.