Il concetto di accountability è una delle principali innovazioni introdotte dal GDPR. Dall'adeguamento a misure minime obbligatorie previste dalla legge - che caratterizzavano la previgente disciplina in materia di protezione dei dati - si è arrivati con il nuovo Regolamento alla responsabilizzazione del titolare. Come noto, quest'ultimo non solo ha il dovere adottare le misure che ritiene più opportune per assicurare la propria compliance al GDPR ma deve essere in grado di dimostrare che le scelte attuate siano idonee a garantire il rispetto dei principi del trattamento, nel continuo processo di progettazione, aggiornamento e monitoraggio delle proprie attività. L'esigenza per l'organizzazione di documentare la compliance ai principi sanciti dalla normativa rende le certificazioni GDPR uno strumento importante per titolari e responsabili del trattamento, anche in ragione dell'adattabilità di questo meccanismo.

In tale contesto, le certificazioni GDPR, facoltative, rappresentano uno strumento strategico per le aziende che vogliono differenziarsi nel campo della tutela della privacy e dei dati personali. La natura facoltativa delle certificazioni fa sì che la loro adozione costituisca un elemento rilevante in termini di responsabilizzazione, dimostrando l'impegno dell'organizzazione nell'adeguamento al GDPR e alle altre normative in materia di protezione dei dati personali.

Previa effettuazione di verifiche imparziali e indipendenti da parte di organismi di certificazione terzi o dello stesso Garante, che attestino la soddisfazione di determinati schemi approvati dall'Autorità italiana o dall'EDPB, qualsiasi organizzazione può ottenere le certificazioni. Il GDPR, infatti, prevede che la certificazione possa essere utilizzata come elemento a supporto della dimostrazione dell'accountability (art. 24 GDPR) e del rispetto dei principi di data protection by design e by default (art. 25 GDPR) da parte del titolare, potendo attestare l'attuazione di misure tecniche ed organizzative adeguate in linea con le caratteristiche del trattamento (quali la natura, l'ambito, il contesto, le finalità, nonché i rischi per i diritti e le libertà delle persone fisiche).

Infine, anche nel delineare le condizioni generali per infliggere sanzioni amministrative pecuniarie, il legislatore ha tenuto conto dell'adesione ad un meccanismo di certificazione (art. 83.2, lett. j GDPR), quale elemento positivo che documenta un interesse del titolare alla conformità normativa. Tale elemento è quindi configurato come attenuante e potrà contribuire alla riduzione dell'importo della sanzione all'interno dell'ampia cornice stabilita dal Regolamento. Ciò può soddisfare le esigenze sia di microimprese e di realtà di piccola e media dimensione sia quelle delle multinazionali. Se si pensa, poi, alla minor capacità dell'azienda di piccole dimensioni a mettere in campo risorse dedicate nello specifico agli adempimenti aziendali in tema di privacy, la comprova dell'adeguamento mediante un percorso certificato, risulta ancora più preziosa.

Va sottolineato che le certificazioni GDPR assicurano una maggiore trasparenza nei confronti di possibili partner commerciali, dipendenti, clienti o altri interessati i quali, attraverso questo strumento, possono valutare rapidamente il livello di tutela dei propri dati garantito dal soggetto certificato. Un elemento, questo, che influisce sull'immagine aziendale e può rappresentare un elemento differenziante rispetto alle aziende concorrenti.