Per quanto decisamente stringente nei suoi contenuti e nella disciplina, a cominciare dalle sanzioni, il regolamento Europeo in materia di protezione dati personali, lascia di fatto liberi i singoli operatori nella scelta sul come adeguarsi al GDPR, salvo poi porre con vigore l´accento sulla ”responsabilizzazione" (accountability nell' accezione inglese) di titolari e responsabili. Ergo, se in teoria non vengono dettate regole rigorose cui uniformarsi, in concreto ogni Titolare del Trattamento dovrà porre in essere ogni comportamento necessario e opportuno e predisporre le dovute cautele e gli accorgimenti atti a dimostrare la concreta adozione delle misure finalizzate ad assicurare l´applicazione del regolamento. Ciò a livello tecnico e legale. Con ampio margine di autonomia i Titolari, insieme ai loro Responsabili nominati e DPO, dovranno decidere modalità, garanzie e limiti del trattamento dei dati personali alla luce di criteri specifici.
 
Tra questi criteri il primo è quello "data protection by default and by design" di cui all’art. 25, vale a dire la tutela dei diritti degli interessati tenendo conto del contesto complessivo di ogni singolo trattamento, dei rischi per gli interessati - anche alla luce delle tecnologie, degli strumenti e dei costi. Ovviamente si tratta di un’attività prodromica alla acquisizione dei consensi ed ai singoli trattamenti, ma deve sostanziarsi in attività specifiche e dimostrabili. In particolare dovrà essere individuato il rischio in concreto per ogni singola azienda o ente, intendendo per tale l’effettivo rischio di impatti negativi non solo per il Titolare stesso, ma anche per i diritti degli interessati. Sono necessarie pertanto analisi delle singole situazioni e occorre tenere di conto di tutti i possibili fattori di rischio.

È prevista per il Titolare la possibilità di richiedere all’autorità di controllo competente eventuali indicazioni su come gestire rischio e trattamento; l´autorità non ha il compito di "autorizzare" il trattamento, ma può di indicare eventuali misure ulteriori o da implementare a cura del titolare e, ai sensi dell´art. 58, adottare misure correttive.

Possiamo quindi dire che, rispetto alla precedente normativa, quello della responsabilizzazione è tema che ha trovato una espressa disciplina al fine di spingere i Titolari e i Responsabili a porre in essere misure che garantiscano una protezione effettiva dei dati. Si tratta della risposta ad una esigenza che si è fatta sempre più forte a fronte dei continui furti di dati e attacchi alle reti che hanno messo in pericolo non solo le aziende stesse, ma anche i dati di milioni di utenti, finiti in possesso di hacker o inseriti a loro insaputa in database per scopi non certo leviti e, sicuramente, mai autorizzati. Mentre la precedente normativa era più focalizzata sugli strumenti di intervento successivo, adesso esistono precisi obblighi preventivi, che hanno carattere anche educativo. Per l’effetto dissuasivo sono poi previste salate sanzioni a fronte delle violazioni.

I Titolari si trovano così ad affrontare la situazione ben prima dell’inizio di un trattamento, poichè ha:

I) l’obbligo di porre in essere misure che rendano ogni trattamento effettuato come conforme (compliant) alle previsioni del Regolamento; 
II) l’obbligo che le misure adottate forniscano la garanzia di detta conformità; 
III) l’obbligo di fondare la scelta delle misure adottate su preventive analisi dei rischi; 
IV) l’obbligo che la conformità così garantita sia anche facilmente dimostrabile, individuando un vero e proprio obbligo di rendicontazione.