Il regolamento UE pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili, ossia sulla capacità di tali soggetti di individuare le misure adeguate e  di dimostrare la concreta adozione di tali misure.
Primario rilievo riveste dunque la valutazione dei rischi inerenti i trattamenti dei dati operati da titolari e responsabili, ossia l’individuazione di quali siano le diverse criticità legate ai vari trattamenti di dati effettuati.
Al considerando n. 83 si legge che “per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi“.

Incombe dunque sul titolare l’onere e la responsabilità di valutare i rischi inerenti i trattamenti di dati effettuati e di individuare ed adottare di conseguenza, le misure di sicurezza tecniche ed organizzative più “adeguate”.
A differenza del Codice privacy, il regolamento non indica più le misure “minime e idonee” da adottare (Allegato B al Codice privacy), ma chiede che sia il titolare stesso ad individuarle una volta eseguita la valutazione dei rischi.
Così dunque l’art. 32 del regolamento UE:
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”.

La responsabilizzazione di titolari e responsabili (c.d. accountability) impone agli stessi non solo una valutazione del rischio iniziale e preliminare rispetto a tutti i trattamenti effettuati, ma altresì una valutazione dei rischi privacy rispetto ad ogni trattamento che si intenda effettuare in futuro.
Il dato dell’interessato deve essere protetto sin dalla progettazione («privacy by design») di un determinato trattamento. La privacy deve essere parte integrante del progetto.
Oltre a ciò, i titolari devono trattare, per impostazione predefinita («privacy by default»), solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.

Così, sul punto, il primo comma dell’art. 25: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.”.
Va inoltre compiuta una “valutazione d’impatto” quando “un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, [..], può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, co. 1).

Al considerando 82 il regolamento UE prevede poi che “per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità.”.
Il registro dei trattamenti è quindi un registro delle operazioni che titolari e responsabili compiono nella elaborazione dei dati e i cui contenuti sono indicati tassativamente all’art. 30 del regolamento UE.
Nell’ottica di valutare previamente i rischi che determinati trattamenti comportano, il registro dei trattamenti diviene quindi strumento fondamentale anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno della società.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Quanto all’obbligatorietà o meno della sua adozione, l’art. 30 del regolamento, al comma 5, prevede che l’obbligo di tenuta del registro non si applica “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”.