Desde la experiencia, conocimientos, trabajos realizados y el desarrollo de la Ley, a través de su Reglamento de Medidas de Seguridad (además de las resoluciones, informes jurídicos de la AEPD, memorias anuales), consideramos que la normalización o adecuación de una empresa, negocio o actividad se debe realizar bajo los siguientes extremos:
1. El conocimiento de la actividad, los recursos humanos y técnicos (estructura informático tanto de Hardware como Software)
2. Acercamiento al circuito por donde fluyen los datos, desde su origen a su tratamiento final y almacenamiento o custodia de los mismos.
3. La naturaleza, estructura y finalidad de uso de los datos.
4. Elaboración de los trabajos a nivel formal:
- Inscripción de ficheros (utilizando como criterio la definición que establece la Ley en la consideración del fichero lógica – jurídica). Redacción del Documento o Manual de Seguridad.
- Elaboración de un formulario para comunicar Incidencias y procedimiento de Registro de las mismas.
- Presentación de los contratos de Encargado de Tratamiento y Cesión de Datos.
- Presentación de compromisos de confidencialidad y secreto para el personal, a nivel interno, que trata los datos asociados a los ficheros inscritos.