Les directives se concentrent sur l’obligation de protection des données par conception et par défaut, telle que définie à l’art. 25 du RGPD. L’obligation fondamentale est la mise en œuvre effective des principes de protection des données et des droits et libertés des personnes concernées, de manière intentionnelle et par défaut. Cela nécessite que les responsables du traitement mettent en œuvre les mesures techniques et organisationnelles appropriées ainsi que les sauvegardes nécessaires, conçus pour déterminer de manière efficace les principes de protection des données et pour protéger les droits et libertés des personnes concernées. De plus, les contrôleurs doivent être en mesure de démontrer que les mesures mises en œuvre sont efficaces.