La EIPD o Evaluación de Impacto de Protección de datos debe realizarse «antes del tratamiento» (artículo 35, apartados 1 y 10, considerandos 90 y 93). Esto es coherente con los principios de protección de datos desde el diseño y por defecto (artículo 25 y considerando 78). La EIPD o Evaluación de Impacto de Protección de datos debe percibirse como un instrumento de ayuda en la toma de decisiones relativas al tratamiento.
La EIPD o Evaluación de Impacto de Protección de datos debe iniciarse tan pronto como sea viable en el diseño de la operación de tratamiento incluso aunque algunas de las operaciones de tratamiento no se conozcan aún. La actualización de la EIPD o Evaluación de Impacto de Protección de datos a lo largo del proyecto de ciclo de vida garantizará que se tenga en cuenta la protección de los datos y la intimidad y propiciará la creación de soluciones que fomenten el cumplimiento. También puede resultar necesario repetir pasos concretos de la evaluación a medida que avance el proceso de desarrollo debido a que la selección de determinadas medidas técnicas u organizativas puede afectar a la gravedad o probabilidad de los riesgos que suponga el tratamiento.
El hecho de que pueda ser necesario actualizar la EIPD o Evaluación de Impacto de Protección de datos una vez iniciado el tratamiento no es un motivo válido para posponerla o no realizarla. La EIPD es un proceso continuo, especialmente cuando una operación de tratamiento es dinámica y está sujeta a cambios permanentes. Llevar a cabo una EIPD es un proceso continuo, no una medida excepcional.
