Antes de realizar o DPIA (Data Protection Impact Assessment), é necessário catalogar todo o tipo de tratamento de dados que a empresa realiza. Feito isso, deve-se verificar quais tratamentos podem ensejar elevado risco aos titulares de dados. Para eles, o GDPR exige que seja realizada uma análise de impacto específica, para que a própria empresa busque medidas que minimizem o risco inicialmente diagnosticado. Caso o risco ainda seja alto após a efetivação do DPIA, a Autoridade de Proteção de Dados competente deve ser consultada.
Diante dessas particularidades, importante não confundir o Data Protection Impact Assessment com outros tipos de análises, como por exemplo, uma Legal Opinion sobre adequação ao GDPR.