É a parte Geral do padrão e se desmembra em (i) Criação de meios para viabilizar os direitos de privacidade do consumidor, (ii) Desenvolvimento de meios de determinar as preferencias de privacidade do consumidor (iii) Projetar interface "human-computer"(HCI) para privacidade, (iv) Designação de papéis relevantes e autoridades, (v) Estabelecer responsabilidade multidisciplinares, (vi) Desenvolvimento de conhecimentos, habilidades e capacidades de privacidade, (vii) Garantir o conhecimento e controles de privacidade e, (viii) Gerenciamento da documentação das informações.

Mostrando a primazia pelo princípio da transparência trata da Transparência de comunicação com o consumidor durante todo o ciclo de vida dos dados coletados, subdividido nos subtemas: (i) Clara responsabilidade pela transparência ao providenciar informação compreensível ao consumidor, (ii) Prestação de contas aos Responsáveis, (iii) Respostas aos questionamentos e reclamações dos consumidores, (iv) Comunicação para um grupo diverso de consumidores e, (v) Design de comunicação após descontinuação do bem ou serviço.

Trata do Gerenciamento de Risco, abordando a (i) Identificação de entrada para avaliação de riscos de privacidade, (ii) Condução de uma avaliação de risco de privacidade, (iii) Avaliação de recursos de privacidade de terceiros, (iv) Avaliação de riscos de descontinuação do bem ou serviço, (v) Estabelecimento de requerimentos para controles de privacidade, (vi) Desenvolvimento de controle de privacidade para descarte, (vii) Monitoramento e atualização de avaliação de riscos e, (viii) Inclusão dos riscos de privacidade no design de resiliência de cybersecurity.

Chamado de Integração da privacidade ao serviço de produto e seu ciclo de vida, foi subdividido em: (i) Integrar o projeto de privacidade ao desenvolvimento do serviço, (ii) Identificar controles de privacidade a desenvolver, (iii) Desenvolver ferramentas de privacidade, (iv) Gerenciar a transição de serviços de privacidade, (v) Gerenciar a operação de serviços de privacidade, (vi) Preparo para quebra de gerenciamento, (vii) Projeto de teste de controle de privacidade e, (viii)  Operar os controles de privacidade para processos e alinhamento de produtos durante o seu ciclo de vida.