Il principio di integrità e riservatezza stabilisce che i dati devono essere sempre trattati in modo da garantirne una sicurezza adeguata al rischio.
L'art. 5, par. 1, lett f), del regolamento, stabilisce che i dati personali sono "trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)". Inoltre, l'articolo 32 del regolamento sancisce che, "tenendo conto dello stato dell'arte e dei costi di di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio".
In tal senso la normativa prevede che il titolare deve adottare misure di sicurezza tecniche ed organizzative "adeguate" per proteggere i dati stessi da trattamenti non autorizzati o illeciti, dalla loro perdita o distruzione o dal danno accidentale. E' importante tenere presente che la sicurezza non riguarda solo il dato, cioé il prodotto finale, bensì l'intero ciclo del trattamento. Il titolare e il responsabile del trattamento devono istruire preventivamente chi accede ai dati sotto lo loro autorità. Il titolare dovrà effettuare la valutazione del rischio dei vari trattamenti per stabilire quali sono le misure di sicurezza adeguate.
Al titolare del trattamento sono imposti obblighi che vanno oltre gli oneri del custode, prevedendo la dotazione di strutture informatiche adeguate a ridurre al minimo i rischi di distruzione, perdita o accesso non autorizzato ai dati.
Il livello di sicurezza non deve essere assoluto, ma "adeguato", ad intendere che al titolare è imposto l'obbligo di una corretta valutazione dei rischi inerenti ai trattamenti da lui posti in essere in modo da assicurare misure che siano "proporzionate" alla situazione concreta, compreso i costi della messa in sicurezza.