Con il D.Lgs. 196/03 termina l'era dello "scarica barile all'italiana".
Se in passato vi era difficoltà nel risalire al titolare responsabile dei danni causati da un trattamento dati personali non corretto, in caso di dibattimento giudiziale il titolare chiamato in causa dall'interessato che ritiene lesi i suoi diritti per via di un trattamento dati non a norma di legge risponde direttamente.
L'articolo 2050 del Codice Civile mette in condizione il titolare di dimostrare di avere "adottato le misure idonee per evitare il danno", invertendo così l'onere della prova.
A poco serve dimostrare di avere raccolto i dati dal datore di lavoro di un dipendente che si vede elaborare le buste paga nello studio di consulenza del lavoro: è necessario esibire corrette procedure che documentino che il titolare di studio ha previamente verificato (e continua in maniera idonea e sistematica a controllare il "titolare cliente") che i dati del dipendente (l'interessato al trattamento dati personali) siano stati raccolti e trattati in conformità alle prescrizioni delle norme sulla privacy.
Quetse attività sono di semplicissima documentazione se l'organizzazione è basata su procedure che prevedono anche i dovuti audit.