Dal comma 2 dell’articolo 32 del regolamento:

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione (loss), dalla perdita (loss), dalla modifica (loss), dalla divulgazione (leak; estrusione) non autorizzata o dall’accesso (leak; intrusione), in modo accidentale o illegale, a dati personali trasmessi (in movimento), conservati (a riposo) o comunque trattati (in uso)

Qui si deve ricordare che a prescindere dalla tipologia di trattamento dei dati, l’omissione da parte di chiunque delle misure di sicurezza è sanzionabile penalmente.  E' sempre sanzionabile l’adozione di misure di sicurezza inadeguate e che quindi rendono il trattamento illecito, per cui il titolare non può più utilizzare i dati raccolti e l’interessato può ottenerne la cancellazione.

Per i dati trattati attraverso l'utilizzo di strumenti  

  • autenticazione informatica; 
  • adozione di procedure di gestione delle credenziali di autenticazione; 
  • utilizzazione di un sistema di autorizzazione; 
  • aggiornamento periodico (almeno annuale) dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; 
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; 
  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; 
  • tenuta di un aggiornato documento sulla sicurezza; 
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Per i dati trattati senza l'utilizzo di strumenti  

  • aggiornamento periodico (almeno annuale) dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; 
  • previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; 
  • previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.