1.- Anàlisis de les dades de les dades de  caràcter personal. Cal fer una anàlisi de la tipologia de dades de caràcter personal: clients, proveïdors, contactes, treballadors, videovigilància, etc.

2.- Contractes amb encarregats de tractament.  En segon lloc cal veure a quines altres empreses es cedeixen les dades de caràcter personal (el cas més típic es el de les gestories). Cal relacionar-les i elaborar els contractes.

3.- Usuaris, confidencialitat  i autoritzacions de tractament de dades personals. S’han de relacionar els usuaris (treballadors) de l’empresa que tracten dades de  caràcter personal, indicant el seu perfil i especificant els tipus de dades que tracten o manipulen. A partir d’aquesta relació cal elaborar els documents de confidencialitat que han de signar tots ells. També cal valorar les autoritzacions per a la sortida de l’empresa de documentació per diferents  mitjans.

4.-  Anàlisi de riscos. S’han d’analitzar les possibles amenaces i vulnerabilitats de la nostra empresa pel que fa la preservació, seguretat i inviolabilitat de les dades de caràcter personal de les que la nostra empresa es responsable. Això inclou:

– Anàlisi d’amenaces i vulnerabilitats de:

– l’espai físic : magatzems, oficines, documents en papers,  etc.

– connexions d’internet, tant dins com des de fora de l’empresa

– Allotjaments d’internet, correu electrònic, etc.

– còpies de seguretat: en discs durs externs, núvol, etc.

– anàlisis d’equips informàtics: antivirus, tallafocs, xarxes locals, CPU’s

– etc.

5.- Mesures de seguretat. En cinquè lloc, a partir de les dades de l’anàlisi de riscos, cal definir les mesures de seguretat que ha implantat o ha d’implantar l’empresa.

6.-  Els drets dels usuaris i el deure d’informar.  S’hauran de redactar totes les clàusules informatives necessàries per incloure, si cal, a : factures, pressupostos, emails, pàgines web, contactes web, newsletters, etc.