Una volta chiarita l’importanza che il GDPR attribuisce al principio di limitazione del trattamento dei dati personali, è anche importante sottolineare che il titolare deve agire sulla base dell’accountability, ovvero la responsabilizzazione dei titolari sull’adozione di “
comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento” (art. 23-25 GDPR). L’introduzione di questo principio ha avuto conseguenze importanti per la data retention e per la protezione dei dati, in quanto affida direttamente ai titolari la responsabilità di decidere, in completa autonomia, le modalità e i limiti del trattamento dei dati personali. Ovviamente, però, il tutto sempre nei limiti imposti dal rispetto delle normative.
Il principio di accountability è stato esteso, oggi, anche a tutti quei dati trattati per finalità di marketing. Il GDPR ha apportato una significativa innovazione in questo senso, visto che, in passato, quelli acquisiti per finalità di marketing potevano essere conservati per un massimo di 24 mesi. I titolari del trattamento con tali fini devono, comunque, definire la data retention dei dati personali, ovvero stabilirne i limiti temporali. Sulla base di alcune sanzioni emesse in materia dal Garante, una data retention a norma di
GDPR deve chiarire la durata effettiva del trattamento. Nel caso in cui non fosse possibile
fissare una data precisa per la cessazione del trattamento dei dati personali, si deve stabilire un criterio che consenta all’interessato di sapere, con assoluta sicurezza, quando il trattamento dei dati può dirsi effettivamente cessato. La data retention deve, dunque, essere ben messa in rilievo nell’informativa privacy e nel registro dei trattamenti.