Otra de las grandes novedades del RGPD es la incorporación del “enfoque de riesgo”. En este sentido, señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y las finalidades del tratamiento, así como el riesgo para los derechos y libertades de las personas.
De acuerdo con este enfoque, algunas de las medidas que el RGPD establece solo deben aplicarse cuando haya un alto riesgo para los derechos y las libertades, mientras que otras deben modularse de acuerdo con el nivel y tipos de riesgo que presenten los tratamientos.
Por tanto, la aplicación de las medidas previstas por el RGPD debe adaptarse a las características de las organizaciones. Lo que puede ser adecuado para una organización que trata datos de millones de personas interesadas, en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada persona afectada, no es estrictamente necesario para una pequeña entidad que realiza un volumen limitado de tratamientos de datos no sensibles. También será necesario que revises y actualices las medidas cuando sea necesario.