El RGPD establece la obligación del responsable del tratamiento de aplicar medidas técnicas y organizativas apropiadas, que le permitan garantizar y demostrar que el tratamiento de datos es conforme a la normativa. A su vez, tanto el responsable como el encargado del tratamiento deben garantizar un nivel de seguridad adecuado al riesgo de los tratamientos de datos, a través de medidas apropiadas. El RGPD también establece que tales medidas han de revisarse y actualizarse cuando sea necesario y, en cuanto a las medidas de seguridad, deben incluir procesos de verificación, evaluación y valoración regulares de su eficacia. Por tanto, dichos procesos de revisión, verificación y actualización conllevan realizar auditorías de protección de datos. La periodicidad y el alcance de dichas auditorías debe determinarla cada entidad en función de sus riesgos, en aplicación del principio de responsabilidad proactiva.