Le misure pertinenti all’accountability riguardano il modo di andare verso la conformità e la sua dimostrazione, molto più che ciò che deve essere fatto per conformarsi.
Le seguenti “meta-misure” riguardano i modi per raggiungere la conformità:
- Protezione dei dati per progettazione e default (vedi art. 25 GDPR),
- La valutazione d’impatto sulla protezione dei dati (cfr. art. 35 GDPR) nella sua funzione di processo continuo che guida il titolare del trattamento nella valutazione dei rischi e nell’identificazione delle misure tecniche e organizzative appropriate per la loro mitigazione.
- La creazione e l’applicazione di politiche di protezione dei dati (vedi Art. 24(2) GDPR).
- L’adesione a codici di condotta approvati (vedi art. 24(3) GDPR).
- L’adesione a meccanismi di certificazione approvati (vedi Art. 24(3) GDPR).
Le seguenti “meta-misure” riguardano i modi di documentare la conformità:
- La valutazione d’impatto sulla protezione dei dati (vedi art. 35 GDPR) nella sua funzione di rapporto. Se il rischio non è verosimilmente elevato e tale valutazione d’impatto non è quindi richiesta, la documentazione di come è stata stabilita questa stima del rischio dovrebbe essere documentata (si veda la sezione “Valutazione d’impatto sulla protezione dei dati” in “Strumenti e azioni principali” nella parte II di queste Linee guidaper i dettagli).
- I registri del trattamento (vedi art. 30 GDPR).