En comparación con la directiva anterior, el GDPR impone obligaciones tanto a los controladores de datos como a los procesadores de datos. El GDPR también ofrece orientación y ejemplos para facilitar a las organizaciones la mitigación de riesgos. Entre estos están:
* Pseudonimización de datos personales (es decir, el procesamiento de datos personales de una manera que ya no puede atribuirse a un sujeto de datos específico sin el uso de información adicional)
* la capacidad de restaurar la disponibilidad de (y el acceso a) los datos personales de manera oportuna después de incidentes físicos o técnicos
* La capacidad de garantizar la confidencialidad, integridad y resistencia de los sistemas de procesamiento.
* Agregando procesos para garantizar pruebas y evaluaciones regulares de las medidas técnicas y organizativas para garantizar la seguridad de los datos personales procesados.
Además, las organizaciones ahora tienen que cumplir con los estándares cuando se trata de incumplir las notificaciones. En primer lugar, las organizaciones que han sufrido una violación de datos ahora deben notificar a la autoridad supervisora ??(autoridad pública independiente establecida por un estado miembro de conformidad con el Artículo 51 del GDPR) "sin demoras indebidas" a menos que la violación no represente un riesgo para los interesados. Si existe un riesgo para los individuos afectados, las organizaciones también deben comunicarlo a los interesados ??afectados, nuevamente "sin demoras indebidas".