De conformitat amb l'apartat 1 de l'article 25, es pot establir que el principi de protecció de dades des del disseny té com a objectiu complir els requisits definits en l'RGPD i, per tant, els drets dels interessats. La protecció de dades ha d'estar present en les primeres fases de concepció d'un projecte i formar part de la llista d'elements que cal considerar abans d'iniciar etapes de desenvolupament successives.
Les mesures que permeten garantir la protecció de dades no són una capa afegida al tractament, un embolcall o una funcionalitat posterior, sinó que hi estan íntimament incloses i en formen part integral de l'esperit del disseny, de manera que no són un element identificable que es pot llevar o posar, sinó que n'impregnen tota l'estructura. Per descomptat, aquests requisits es tradueixen en mesures tècniques i organitzatives amb l'objectiu d'aplicar de manera efectiva els principis de protecció de dades i integrar les garanties necessàries en el tractament. És important recalcar que la implementació d'un tractament no es basa únicament en un conjunt de productes de maquinari o programa, sinó que un tractament és un sistema format per màquines, persones, la interacció entre ambdues i els modes d'utilització i d'ús. Aquests darrers tres elements es defineixen en les mesures organitzatives.
Un exemple d'aquestes mesures, que s'estableix de manera expressa en l'RGPD, és que el mateix tractament incorpori mesures per a la pseudoanonimització primerenca de les dades personals o la minimització de dades. La pseudoanonimització es defineix en l'apartat 5 de l'article 4 com el tractament de dades personals de tal manera que ja no puguin atribuir-se a un interessat sense utilitzar informació addicional, sempre que aquesta informació addicional figuri per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s'atribueixin a una persona física identificada o identificable.
La minimització de dades no es troba explícitament definida en l'RGPD, però s'interpreta en el sentit que les dades personals objecte de tractament han de ser adequades, rellevants i limitades a les que siguin necessàries en relació amb la finalitat del tractament.
Recordem que molts tractaments se segueixen fent en paper, una part fent còpies o utilitzant el suport d'impressió com còpies temporals de treball, i que aquesta forma de treball s'ha de tenir en compte a l'hora de dissenyar el procés global.
L'obligació que s'adoptin els principis de privacitat des del disseny recau en el responsable del tractament. El responsable del tractament pot subcontractar tant el desenvolupament com la implementació d'una part o de la totalitat del tractament. En aquest cas, complint les seves obligacions, ha de reflectir contractualment els requisits que garanteixen la protecció dels drets dels subjectes de les dades i fer el seguiment que aquests requisits han estat efectivament traduïts a decisions de disseny i que són funcionals. En el cas d'adquisició de productes o contractació de serveis que siguin utilitzats per implementar un tractament, entre els elements que s'utilitzen per determinar quin es tria entre els disponibles en el mercat ha de figurar, amb un pes significatiu, si no crític, el fet que es pugui demostrar que a l'hora de desenvolupar-lo s'han implementat els principis de privacitat des del disseny.
Sigui quina sigui la forma de subcontractació o adquisició, el responsable mai no pot delegar completament l'obligació d'aplicar aquest principi, ja que sempre quedaran sota el seu poder de decisió almenys les mesures organitzatives que li competeix prendre per interaccionar amb el servei subcontractat.
La selecció de les mesures és el resultat d'una anàlisi de riscs amb relació a la probabilitat i la gravetat que afectin els drets i les llibertats de les persones físiques i s'apliquen tenint en compte l'estat de la tècnica, el cost d'aplicació i la naturalesa, l'àmbit, el context i els fins del tractament.