Il nuovo regolamento europeo 679/2016 modifica radicalmente l’approccio finora adottato, introducendo il concetto di accountability (tradotto come responsabilizzazione, ma che significa “dover rendere conto del proprio operato”).
Con la regolamentazione attuale e precedenti, l’approccio alla sicurezza era di tipo “reattivo“; si determinavano misure di sicurezza, spesso minime, e si reagiva quando esse non erano sufficienti.
L’esperienza ha dimostrato l’inadeguatezza di questo schema; adesso viene richiesto a titolari e responsabili un approccio proattivo, con comportamenti che prevengano (e/o riducano) in modo effettivo il possibile evento dannoso.
Infatti, con un parere del Gruppo di Lavoro Articolo 29, si è specificato che “il titolare del trattamento dei dati debba essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.”
Quindi non più misure minime di sicurezza, ma l’introduzione e l’applicazione di un sistema di misure (giuridiche, organizzative, di sicurezza, …) definite dal titolare come adeguate e rispondenti alle norme del nuovo codice di protezione.
Senza dimenticare la responsabilizzazione e la formazione dei responsabili e degli incaricati al trattamento dei dati personali.