Como mínimo, debiera ser capaz de responder afirmativamente a las siguientes preguntas:

• ¿Hemos identificado y esquematizado qué datos procesamos y para qué fines?

• ¿Podemos justificar el procesamiento que realizamos de cada categoría de datos (es decir, demostrar la base legal que soporta nuestro derecho a hacerlo.)?

• ¿Proporcionamos información a nuestros usuarios/clientes sobre cómo procesamos sus datos personales?

• ¿Nos hemos asegurado de que los datos están almacenados de forma segura y de que no se puede acceder a ellos sin autorización?

• ¿Hemos establecido mecanismos para la eliminación de datos que ya no necesitamos?

• ¿Sabemos qué hacer cuando una persona decide ejercer alguno de sus derechos amparados por el RGPD tales como el de obtener una copia de sus datos personales?

• ¿Hemos esquematizado el nivel y el origen de cualquier riesgo relacionado con nuestro modo de procesar los datos? ¿Hemos tomado medidas para mitigar ese riesgo?

• ¿Disponemos de un protocolo de respuesta llegado el caso de que una persona no autorizada consiga acceso a los datos personales que almacenamos?

• ¿Nos hemos asegurado de que todas las personas de la empresa u organización conoce los procedimientos correctos para procesar y proteger datos personales?

• ¿Disponemos de un plan para re-evaluar nuestras prácticas de procesamiento de datos personales?