Las medidas pertinentes a la responsabilidad se refieren a la forma de cumplir y a su demostración, mucho más que a lo que hay que hacer para cumplir.

Las siguientes medidas “meta” abordan formas de lograr el cumplimiento:

• Protección de datos por diseño y por defecto (véase el artículo 25 del RGPD),
• La evaluación de impacto de la protección de datos (véase el artículo 35 del RGPD) en su función de proceso continuo que guía al responsable del tratamiento en la evaluación de los riesgos y en la identificación de las medidas técnicas y organizativas adecuadas para su mitigación.
• La creación y aplicación de políticas de protección de datos (véase el art. 24(2) delRGPD).
• La adhesión a los códigos de conducta aprobados (véase el art. 24(3) RGPD).
• La adhesión a los mecanismos de certificación aprobados (véase el art. 24(3) delRGPD).

Las siguientes medidas “meta” abordan formas de documentar el cumplimiento:

• La evaluación de impacto de la protección de datos (véase el artículo 35 del RGPD) en su función de informe. Cuando no sea probable que el riesgo sea elevado y, por lo tanto, no se requiera dicha evaluación de impacto, deberá documentarse cómo se ha establecido esta estimación del riesgo (para más detalles, véase la sección sobre “Evaluación de impacto de la protección de datos” en “Principales herramientas y acciones” en la parte II de estas directrices).
• Los registros del tratamiento (véase el artículo 30 del RGPD).