Conjunto de acciones y tareas programadas dentro de la organización, para reducir, eliminar o asumir de forma controlada los riesgos identificados en el tratamiento de datos personales que lleva a cabo.
El objetivo es reducir el potencial perjuicio disminuyendo, bien la probabilidad de que estos se materialicen, bien el impacto que representan.
Como parte de la gestión del riesgo, estas acciones o tareas se han de realizar con independencia de que se trate de tratamientos de alto riesgo o no.