Ai principi sopra ricordati, va aggiunto quello di responsabilizzazione, che in sostanza dice: i soggetti che trattano dati personali hanno la libertà di decidere come rispettare la normativa, ma contemporaneamente hanno l’obbligo di dimostrare ciò; il tutto, facendo uso di un approccio basato sul rischio. Il rischio deve intendersi come quello relativo ai diritti ed alle libertà degli interessati, ed i diritti e le libertà sono tutti quelli riconosciuti nell’UE, inclusi quelli che non hanno nulla a che vedere con i dati personali, ma su cui si possono avere comunque impatti.

L’obbligo di dimostrare come viene rispettata la normativa corrisponde alla necessità di documentare le decisioni prese e le valutazioni fatte. Il documento principale è il Registro delle Attività di Trattamento, cioè il censimento di tutti gli utilizzi di dati personali che vengono fatti, con una serie di informazioni associate; è in capo sia a Titolari che a Responsabili, ma in forma diversa. Pur avendo dei casi in cui non risulta obbligatorio, o non in forma completa, è utile in tutti i casi.

Per approfondire: Gli adempimenti GDPR per categoria economica

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.