1. Al momento di determinare i mezzi del trattamento e all’atto del trattamento stesso, il responsabile del trattamento, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, mette in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato.
2. Il responsabile del trattamento mette in atto meccanismi per garantire che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone.
3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le misure e i meccanismi adeguati di cui ai paragrafi 1 e 2, in particolare i requisiti riguardanti la protezione dei dati fin dalla progettazione applicabili in materia trasversale a vari settori, prodotti e servizi.
4. La Commissione può stabilire norme tecniche riguardanti i requisiti di cui ai paragrafi 1 e 2. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.