Consentiment exprés
Ha de ser lliure, informat, específic i inequívoc, i mai s'ha de deduir del silenci o de la inacció dels usuaris, que han de manifestar el seu consentiment de forma expressa i revocable (i no per omissió).
Transparència i informació a l'interessat
Tota informació s'ha de proporcionar de manera concisa, transparent, intel·ligible, i ha de ser de fàcil accés, amb un llenguatge clar i senzill.
Adaptació de clàusules i polítiques informatives
És obligatori informar els clients de les novetats que estableix la nova normativa, mitjançant les eines de comunicació de l'empresa, com pàgines web, correu electrònic o butlletins informatius.
Avaluació de l'impacte
Es tracta d'una eina que té com a finalitat assegurar la privacitat de les dades personals des del disseny del tractament i, d'aquesta manera, analitzar si posa en risc els drets dels interessats.
Dret a l'oblit i dret a la portabilitat
L'interessat pot sol·licitar que es bloquegin en els resultats dels cercadors els vincles que condueixin a informacions obsoletes, incompletes, falses o irrellevants. També es podran transmetre les dades de l'interessat d'un responsable a un altre (prèvia sol·licitud) sense que hagin de ser transmesos a l'usuari.
Nomenament d'un delegat
És necessari que les empreses que tinguin un tractament massiu de dades personals tinguin un delegat de protecció de dades (DPO).
Obligació de notificar les fallades de seguretat
S'han de notificar les anomenades «violacions de seguretat de les dades» en un termini de 72 hores a partir del moment en què es tingui constància d'aquest succés.
