Selanjutnya pengendali data pribadi wajib bertanggung jawab terhadap pemrosesan data pribadi dengan menunjukkan pertanggungjawaban terhadap pemenuhan kewajiban pelaksanaan prinsip perlindungan data pribadi tersebut. Perlu diketahui, kegagalan pelindungan data pribadi dimaknai sebagai kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, yang mengarah pada kerusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi.
“Sanksinya apa? Itu ada administratif, perdata, atau bahkan pidana kalau memang masuk dalam ranah pidana. Yang sering ditanyakan, bagaimana kalau perusahaan sudah berupaya sebaik mungkin mencegah kegagalan dalam perlindungan data pribadi, tapi tetap terjadi kebocoran? Ini isu hukum yang cukup menarik. Kapan perusahaan bisa salah? Kalau perusahaan itu tidak melakukan upaya apapun untuk comply dengan UU PDP, tidak punya SOP, tidak melakukan kewajiban, wajar kalau bocor,” ujarnya.
Akan tetapi, bila perusahaan sudah melaksanakan segala kewajiban yang disyaratkan oleh UU PDP dalam rangka menjaga keamanan data pribadi pengguna. Hal tersebut akan diketahui dalam investigasi dari pihak berwajib. “Ketika diperiksa akan bisa kita lihat, mereka sudah berupaya melindungi data (atau belum sesuai UU PDP, red). Saya kira ini pentingnya cyber security di situ, dari sisi hukum untuk menjaga kepatuhan terhadap aturan dan mendemonstrasikan ke pihak yang melakukan pemeriksaan (kalau perusahaan sudah berupaya).”
Dalam seminar yang dimoderatori oleh General Counsel/VP Legal & Compliance Telkomsigma, Reza Topobroto itu juga menghadirkan salah satu pengurus Indonesian Corporate Counsel Association (ICCA) Wahyu Setiawan sebagai pembicara. Iwan ikut mengamini esensialitas bagi perusahaan patuh terhadap ketentuan-ketentuan yang termuat dalam UU PDP. Sehubung dengan itu, In-House Counsel sebagai pemberi nasihat hukum bagi perusahaan kini tak lagi sebatas berkutat dengan UU No. 40 Tahun 2007 tentang Perseroan Terbatas (UU PT) semata, tetapi juga mau tak mau menggali UU PDP.
 Wahyu Setiawan .jpg "Hukumonline.com")
Pengurus Indonesian Corporate Counsel Association (ICCA) Wahyu Setiawan.
“Dengan adannya UU PDP ini memunculkan kepastian hukum bahwa cara main pelindungan data pribadi di Indonesia itu begini. Ini juga membuka peluang dan kesempatan baru di dunia industri. Biasanya In-House Counsel heavy di UU PT, sekarang juga masuk UU PDP. Mau tak mau, apalagi kalau industrinya berkaitan dengan teknologi atau pemrosesan data publik.”
Wahyu juga mengungkapkan bahwa ICCA sendiri tengah membawa misi untuk mendorong posisi In-House Counsel agar dapat duduk dalam diskusi pengambilan keputusan di perusahaan. Termasuk dalam kaitannya dengan pemrosesan data pribadi dalam hal ini, untuk itu akan dihadirkan sejumlah program yang diharapkan dapat semakin membekali para lawyer internal perusahaan pada pemahaman lingkup PDP.
Sependapat dengan Danny, ia pun menilai penting bagi perusahaan agar menunjukkan kesungguhannya menjaga data pribadi yang dimiliki. Seperti dengan membuat kebijakan (berupa SOP atau semacamnya) terkait dengan pelindungan data pribadi, pengadaan alat untuk melindungi data pribadi dari kebocoran, dan lain sebagainya.