Quanto maior for o risco, em termos da probabilidade de ocorrência ou da gravidade do impacto de uma violação de dados, maior deve ser o cuidado na aplicação de medidas de mitigação do risco. Por exemplo, tratamentos que envolvem dados sensíveis — como categorias especiais de dados pessoais — ou tratamentos realizados em larga escala exigem mecanismos reforçados de proteção e monitorização tendo em vista a mitigação dos riscos identificados.
Dependendo da avaliação dos fatores críticos de risco e das políticas institucionais em vigor, o investigador deve ponderar submeter o projeto a uma comissão de ética, para apreciação dos riscos identificados e das medidas de mitigação propostas. Nos casos de projetos com risco elevado, será ainda necessária a emissão de parecer pelo Encarregado de Proteção de Dados.
O investigador deve aplicar as medidas definidas e também garantir que pode, em qualquer momento, demonstrar a conformidade legal do seu projeto (princípio da responsabilidade), seja se solicitado pela instituição, por um participante ou por uma autoridade competente, como a Comissão Nacional de Proteção de Dados (CNPD). Além disso, os investigadores têm o dever de comunicar estas medidas de forma clara e transparente aos participantes, informando-os sobre o que será feito com os seus dados pessoais ao longo do projeto.