Las organizaciones que gestionan datos personales de manera constante deberían realizarla al menos cada dos años, o siempre que se produzcan cambios significativos en los procesos o en la normativa.