En primer lugar, se mantendrían reuniones con aquellas personas de la entidad encargadas de los departamentos en los que se traten datos personales.  En ellas se identificarían las actividades de tratamiento. A raíz de conocer los datos tratados en la entidad, desarrollaríamos por una parte, las políticas y procedimientos genéricos para cumplir permanentemente con la normativa, y por otra, los documentos a implantar por la entidad consistentes en las cláusulas de información y consentimiento, los contratos de encargo de tratamiento con terceros o la firma por parte de la dirección de las políticas de protección de datos.

En este punto, se elabora tal y como nos indican desde la misma AEPD un procedimiento de medidas de seguridad, si el riesgo analizado es escaso, un análisis de riesgos si el riesgo es bajo, y una evaluación de impacto en protección de datos si el riesgo es alto.