1. Tenuto conto dell’evoluzione tecnica e dei costi di attuazione, il responsabile del trattamento e l’incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere.
2. Previa valutazione dei rischi, il responsabile del trattamento e l’incaricato del trattamento prendono le misure di cui al paragrafo 1 per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento, in particolare la comunicazione, la divulgazione o l’accesso non autorizzati o la modifica dei dati personali.
3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti le misure tecniche e organizzative di cui ai paragrafi 1 e 2, compresa la determinazione di ciò che costituisce evoluzione tecnica, per settori specifici e in specifiche situazioni di trattamento dei dati, in particolare tenuto conto degli sviluppi tecnologici e delle soluzioni per la protezione fin dalla progettazione e per la protezione di default, salvo che si applichi il paragrafo 4.
4. Se necessario, la Commissione può adottare atti di esecuzione per precisare i requisiti di cui ai paragrafi 1 e 2 in varie situazioni, in particolare per: