El tratamiento propiamente dicho se inicia con el visto bueno del responsable del tratamiento a los recursos para que empiecen a ejecutar las instrucciones emitidas.  A partir de este momento, comienza el tratamiento de los datos personales reales.  Es decir, es ejecutado por los recursos designados que siguen las instrucciones del responsable del tratamiento.

El tratamiento propiamente dicho finaliza cuando ya no se tratan datos personales.  Teniendo en cuenta que según el Art. 4(2) del RGPD, el almacenamiento de datos personales constituye un tratamiento, la terminación del tratamiento en sí va más allá de decir a los recursos que dejen de ejecutar las instrucciones emitidas. Más bien, requiere también instrucciones adicionales para comprobar que los datos personales ya no se almacenan.  A esto lo llamamos desmantelamiento de las operaciones de tratamiento.El desmantelamiento abarca la supresión y la destrucción de los datos personales, que siguen constituyendo un tratamiento de acuerdo con el artículo 4.2. 4(2).

El art. 25(1) exige que los responsables del tratamiento apliquen también medidas técnicas y organizativas adecuadas durante el propio tratamiento.  De forma análoga a la determinación de los medios, la estructura encontrada para el tratamiento propiamente dicho se utilizará para orientar el debate sobre las medidas.