La AEPD ha publicado dos documentos, uno dirigido al sector privado y otro a las Administraciones públicas, reflejando las actuaciones u "hoja de ruta" que se debe llevar a cabo para que los tratamientos sean conformes al RGPD. Estas actuaciones serían las siguientes:

• Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.
• Elaborar el registro de actividades de tratamiento.
• Analizar las bases jurídicas de los tratamientos.
• Efectuar un análisis de riesgos.
• Revisar las medidas de seguridad en función del análisis de riesgos realizado.
• Establecer mecanismos y procedimientos de gestión de brechas de datos personales.
• Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
• Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
• Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
• Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
• Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
• Confeccionar e implantar políticas de protección de datos.