En primer lugar, hay que realizar la inscripción de ficheros en la Agencia de Protección de Datos (AEPD).

Una vez inscritos los ficheros, se deben incluir las cláusulas de información del ejercicio de derechos (derechos ARCO) en todos los documentos que corresponda. Todo el mundo tiene cuatro derechos principales (acceso, rectificación, cancelación y oposición) y se debe informar de dónde pueden ejercer estos derechos, que puede ser una dirección postal o electrónica, nosotros aconsejamos ambas o, si sólo desean una opción, la postal, por su fiabilidad; en el caso del correo electrónico, el gestor de correo puede tener un filtro anti-spam alto y desviarlo a 'Correo no deseado'. En caso de tener un formulario en su página web, por ejemplo, debería incluirse esta cláusula. Hay que destacar que mientras no se cumpla con la LOPD es preferible no hacer mención de ella, puesto que el desconocimiento de dicha ley conlleva unas sanciones menores, mientras que hacer constancia de su conocimiento y no cumplirla, implica intencionalidad y las sanciones por parte de la AGPD serán más elevadas.

En tercer lugar, hay que generar una serie de documentación con terceros. Hay muchas empresas que cuentan con colaboradores externos o profesionales autónomos que les prestan servicios y, también en las Pymes, la gestión contable y/o informática la suele llevar una empresa externa, por ejemplo. Con todos ellos se debe firmar documento de prestación de servicios, y si ya se ha firmado un contrato con anterioridad, comprobar que en dicho contrato se incluyera un apartado de protección de datos. Con los empleados en plantilla también se deberán firmar una serie de documentos.

El último lugar, hay que generar el documento de seguridad, en el que se explica detalladamente cuál es el procedimiento utilizado para el tratamiento de los datos de carácter personal de la entidad, tanto a nivel automatizado (informático) como a nivel no automatizado (papel).