L'art. 5, par. 1, lett. f), stabilisce che i dati personali devono essere

"trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)".

L'art. 32, invece, fissa alcuni principi fondamentali. In particolare le misure di sicurezza devono essere approntate

"tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche". 

Le misure di sicurezza si dividono in due categorie: 

misure organizzative 

misure tecniche, che, sempre secondo l'art. 32, comprendono, tra le altre: 

a) la pseudonimizzazione 

b) la cifratura dei dati personali; 

Con il termine requisiti di sicurezza si intende

1) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; 
2) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; 
3) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 

Si evince quidi, ed è molto importante, che la sicurezza, non riguarda solo l'aspetto informatico del trattamento, ma anche l'aspetto organizzativo che mira a gestire eventi quali la sottrazione o la perdita di documenti.

Le misure di sicurezza, quindi devono garantire che: 
- i dati possono essere consultati, modificati, divulgati o cancellati solo dalle persone debitamente autorizzate a farlo; 
- i dati trattati sono accurati e completi in relazione al motivo del trattamento; 
- i dati rimangono accessibili e utilizzabili, cioè, in caso di perdita, modifica o distruzione accidentale, si deve essere in grado di recuperarli e prevenire danni alle persone interessate, predisponendo un opportuno piano di continuità operativa.

Il principio di sicurezza, quindi, prevede l'obbligo di riservatezza, integrità e disponibilità dei dati.