De entrada, el objetivo de cumplimiento debe abordarse como un proceso y con un enfoque preventivo, en lugar de mediante intervenciones puntuales para reaccionar ante la aparición de problemas. Como mínimo, toda entidad debe analizar qué tipo de datos personales trata, con qué fines, qué tipo de operaciones de tratamiento lleva a cabo y qué medios utiliza para ello. A partir de este conocimiento, deberá determinar cuáles de las medidas previstas en la normativa le corresponde aplicar y cómo hacerlo. Además, deberá generar evidencias documentales de las medidas adoptadas y evaluar de forma periódica su eficacia, para poder demostrar el cumplimiento.