El artículo 32 del Reglamento General de Protección de Datos establece la obligación del responsable y encargado del tratamiento de adoptar las medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto, los fines del tratamiento y la probabilidad y gravedad para los derechos y libertades de las personas físicas.