Aหลักการ PDPA  “ไม่ให้ทำเผื่อ ให้ทำเท่าที่จำเป็น” แต่สามารถปรับปรุงให้ทันสมัย หรือเพิ่มได้ ผลเสีย

1. หากมีการขอเปลี่ยน Consent ในภายหลัง จะเกิดความยุ่งยาก ซึ่งในทางปฏิบัติก็ทำได้ยาก องค์กรจึงควรทำให้เรียบร้อยตั้งแต่ครั้งแรกและต้องมีกลไกที่ชัดเจน
2. เจ้าของข้อมูลต้องการขอให้ลบข้อมูล แต่เราไม่สามารถลบให้ได้ เพราะข้อมูลไปผูกอยู่กับเรื่องอื่นที่จำเป็นต้องใช้ ซึ่งเกิดจากการที่อ้างฐานผิด ทำให้เสี่ยงกับการหยุดชะงักแล้วไม่สามารถดำเนินการต่อได้

แนวทางป้องกัน Record of Processing หรือ ROP การทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล จะช่วยให้องค์กรเห็นภาพรวมทั้งหมด และนำข้อมูลไปใช้ได้อย่างมีประสิทธิภาพ

Aกรณีเป็นบริการหลัก เช่น เปิดบัญชี ผู้ให้บริการ (ในกรณีนี้คือธนาคาร) สามารถใช้ฐานสัญญาได้ไม่ต้องขอความยินยอม กรณีที่มาขอยินยอมอาจเป็นส่วนเสริมเช่นการแจ้งข่าวสารบริการของธนาคาร,โปรโมชัน,การวิเคราะห์เพื่อปรับปรุงบริการ ฯลฯ ซึ่งเจ้าของข้อมูลไม่ยินยอมได้ ผู้ให้บริการต้องแจ้งว่าถ้าไม่ยินยอมจะกระทบอย่างไร (เช่น ไม่ได้รับรู้โปรโมชันหรือแคมเปญพิเศษ)

Aการทำ Consent หรือการให้การยินยอม เป็นเพียงส่วนหนึ่งของการจัดการข้อมูล ที่ลูกค้าสัมผัสได้ ทำให้มีโอกาสที่จะเกิดการหลุดรอดในเรื่องการจัดการข้อมูลให้มีประสิทธิภาพ