Con el RGPD es cada entidad la que debe decidir e implementar las medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado, atendiendo a variables como el estado de la técnica, los costes de aplicación, el tipo de tratamientos de datos realizados y los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Por tanto, cada entidad deberá determinar y poder justificar qué medidas aplica en base al resultado del análisis previo a realizar.