I principi alla base della privacy europea, definita dal Regolamento UE 2016/679, sono molto diversi rispetto a quelli su cui era basata la previgente disciplina, delineata dal Codice della privacy italiano (D.Lgs. n. 196/2003, applicabile fino al 24 maggio 2018).

Nella disciplina precedente, infatti, l'adempimento delle misure richieste dalla normativa (es. misure minime di sicurezza) era sufficiente per tutelare i titolari del trattamento in relazione agli obblighi privacy. Diversamente, nella disciplina europea vi è una sorta di "spostamento dell'onere della prova", essendo il titolare del trattamento che dovrà:

• decidere, valutando la propria situazione specifica, le misure da adottare per garantire il rispetto dei principi applicabili al trattamento dei dati personali di cui all'articolo 5, GDPR, ed essere in grado di comprovare l'adozione di tali misure e il rispetto dei predetti principi (principio di "accountability", ovvero di "responsabilizzazione");
• configurare il trattamento prevedendo, sia al momento della determinazione dei mezzi del trattamento sia all'atto del trattamento stesso, l'adozione delle garanzie richieste dalla normativa (privacy "by design") e mettendo in atto le misure adeguate per garantire, per impostazione predefinita (privacy "by default"), che siano trattati solo i dati necessari per ogni specifica finalità e che non siano resi accessibili i dati personali a un numero indefinito di persone fisiche.

Con il GDPR il legislatore europeo ha inteso istituire il principio di "accountability", traducibile in italiano con "responsabilizzazione".