Estas medidas se aplicarán teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales a proteger, y deberán cumplir en particular con los Principios de Protección desde el Diseño y por Defecto.
A diferencia del actual RD 1720/2007, el Reglamento no distingue distintos niveles de seguridad en función de la tipología de los datos tratados, ni detalla una por una las medidas de seguridad que deberán implementarse.
Se trata por tanto, de un cambio, al instaurar un modelo basado en el riesgo y la prevención, en el que no bastará con garantizar que durante las diferentes fases del tratamiento se han adoptado las medidas de seguridad oportunas, sino que será necesario acreditar que, con carácter previo a dicho tratamiento, se han evaluado los eventuales riesgos que el mismo podrá comportar.
Las medidas deben garantizar, entre otros aspectos: la seudonimización y el cifrado de datos; la confidencialidad, integridad, disponibilidad y resiliencias permanentes de los sistemas y servicios de tratamiento, la restauración de la disponibilidad y el acceso a los datos de forma rápida en caso de incidente, la verificación, evaluación y valoración regulares de la eficacia de las medias de seguridad adoptadas, o que el acceso por parte de terceros a los datos personales se realizará únicamente bajo las instrucciones del responsable o, en su caso, del encargado del tratamiento.
Así, aunque a priori pueda parecer que ya no resultará obligatorio adoptar las medidas de seguridad que imponía el RD 1720/2007, como por ejemplo la realización de auditorías bienales en caso de tratar datos de nivel medio o alto de seguridad, deberá esperarse al pronunciamiento del legislador respecto a la idoneidad, o incluso obligatoriedad de mantener algunas de las medidas de seguridad recogidas en el citado RD 1720/2007.