El concepte de responsabilitat proactiva s'estableix en l'article 5 de l'RGPD, en què es defineixen el conjunt de principis que s'han d'aplicar per protegir de manera efectiva les dades personals. En concret en l'apartat 2 s'estableix que la responsabilitat proactiva és una de les obligacions del responsable del tractament amb relació als principis que s'estableixen en l'apartat 1 del mateix article. Per tant, és una de les noves obligacions que s'estableixen en l'RGPD per assegurar que es compleixen aquests principis, i que consisteix en la capacitat del responsable, és a dir, de l'organització, de demostrar i proporcionar evidències d'aquest compliment.
El concepte de responsabilitat proactiva es perd en la traducció de l'RGPD, des de la redacció original en anglès fins a la traducció a l'espanyol. En la versió en anglès s'usa el terme accountability. Si ens remetem a la definició que trobam en el diccionari Oxford, accountability és la situació o l'estat pel qual està clarament identificat el responsable de les accions que es prenen en l'organització. I afegeix que, amb relació a aquestes accions, aquest responsable pot proporcionar una explicació, satisfactòria i demostrable, del perquè, i amb quina base legal o sobre quins principis, es van prendre aquestes accions.
L'RGPD introdueix un canvi important en la manera en què un responsable del tractament ha d'enfrontar-se a les seves obligacions amb relació a la protecció de dades de caràcter personal. Es basa en un principi d'autoanàlisi, crític, continu, «traçable» i basat en la responsabilitat, que permeti implementar una veritable governança de dades personals al si de les empreses. «Traçable» suposa que existeix un registre de les diferents decisions en el temps, fins i tot quan aquestes decisions han resultat contradictòries. Amb responsabilitat implica que en aquest registre s'identifica la persona que va prendre les decisions, o les que no va prendre quan ho hauria d'haver fet, per què va prendre aquestes decisions, quina justificació hi havia per prendre-les i quan les va prendre. A més, depenent del tipus d'activitat o decisió, es poden recollir dades addicionals que poden resultar rellevants per al procés de negoci, o per al servei proporcionat als subjectes de les dades, com on va prendre aquesta decisió, o des de quin dispositiu es va prendre aquesta decisió.
Un altre aspecte rellevant és que el principi de responsabilitat proactiva implica tot el personal de l'organització en el dia a dia del tractament de dades de caràcter personal. El personal de l'organització ha d'adoptar una actitud proactiva, compromesa i responsable, conscient de la necessitat de preservar un dret fonamental. En definitiva, una nova actitud activa en l'execució de les obligacions.
El conjunt de tasques que s'han d'implementar per fer efectiu el principi de responsabilitat proactiva amb relació a la protecció de dades de caràcter personal s'estén al llarg tot l'RGPD. Sense pretendre ser exhaustius, inclou les mesures següents:
- La implementació del principi de transparència.
- L'exercici dels drets reconeguts als interessats.
- L'obligació de disposar d'un delegat de protecció de dades.
- L'obligació de mantenir una llista de tractaments, que substitueix la de la notificació de fitxers a l'Autoritat de Control.
- L'anàlisi de riscs de seguretat i la definició dels requisits de privacitat des del disseny i els de privacitat per defecte.
- La implementació de les mesures de seguretat identificades com a resultat de l'anàlisi de risc i la notificació de les violacions de seguretat.
- L'obligació de fer quan correspongui una anàlisi d'impacte a la privacitat.
- La possible obtenció voluntària de certificats i de segells de privacitat, o l'adhesió a codis de conducta.
La responsabilitat proactiva implica la configuració de l'organització des de la perspectiva de protecció de dades. És a dir, suposa introduir una cultura de protecció de dades en l'organització.