L'article 32 de l'RGPD estableix que les mesures tècniques i organitzatives apropiades per garantir el nivell de seguretat adequat al risc es defineixen en funció de l'estat de la tècnica, els costos d'aplicació, i la naturalesa, l'abast, el context i els fins del tractament així com els riscs de probabilitat i gravetat variables per als drets i les llibertats de les persones. No s'estableixen mesures de seguretat estàtiques. Correspon al responsable determinar les mesures de seguretat que són necessàries per garantir la confidencialitat, la integritat i la disponibilitat de les dades personals. Per tant, un mateix tractament de dades pot implicar mesures de seguretat diferents en funció de les especificitats concretes d'aquest tractament de dades.
En definitiva, el primer pas per determinar les mesures de seguretat és l'avaluació del risc. Una vegada avaluat el risc és necessari determinar les mesures de seguretat encaminades a reduir o eliminar els riscs per al tractament de les dades.
Per acreditar el compliment dels requisits de seguretat que estableix l'RGPD, l'article 32.3 permet als responsables dels tractaments la possibilitat d'utilitzar mecanismes de certificació per garantir i demostrar el compliment dels requisits de seguretat, o l'adopció d'un codi de conducta. La certificació i els codis de conducta poden ser eines útils per complir el que preveu l'RGPD pel que fa a mesures de seguretat, però no eximeix els responsables de l'enfocament de risc.
L'RGPD no fixa unes mesures de seguretat únicament en consonància amb la sensibilitat de les dades utilitzades en un determinat tractament. La visió del risc permet als responsables assignar mesures de seguretat de manera dinàmica en funció de les característiques i el context de cada tractament.
Quan l'RGPD es refereix a les mesures de seguretat dels tractaments de dades personals, es refereix tant a les obligacions del responsable com a les de l'encarregat o subencarregat del tractament. Tant l'encarregat del tractament com el responsable del tractament han de tenir en compte l'establiment de mesures tècniques i organitzatives que permetin garantir la seguretat de les dades personals.