Le misure di sicurezza sono le pratiche tecniche e organizzative che deve adottare chi tratta dati personali per garantirne la sicurezza. Il livello di sicurezza deve essere proporzionato al livello di rischio legato a quel dato. I rischi sono legati alla distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso, in modo accidentale o illegale, ai dati personali.
Le misure di sicurezza possono comprendere ad esempio:
Inoltre, anche l'adesione a un codice di condotta o a un meccanismo di certificazione possono contribuire a dimostrare di aver adottato misure di sicurezza adeguate. A questo proposito, il Titolare e il Responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati, se non è istruito in tal senso dal Titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.