1- El principio de responsabilidad activa
Este principio requiere que las compañías analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

2.- El enfoque de riesgo
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

3.- Consentimiento inequívoco
A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción. Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito como son en el tratamiento de datos sensibles, la adopción de decisiones automatizadas y las transferencias internacionales.

4.- Transparencia e información
La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales. Las clausulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.

5.- Derecho de acceso y derecho al olvido
Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. La nueva normativa reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento y también a que el cliente pueda solicitar que sus datos sean eliminados cuando estos ya no sean necesarios para la finalidad con la que fueron recogidos.

6.- Limitación de tratamiento
Supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían.