Un cop analitzats els riscos, cal tractar-los per modificar-los: a aquest objectiu s'orienten les mesures de seguretat. Fins ara les mesures de seguretat venien imposades per la llei, s'havien d'aplicar amb independència de la seva eficàcia en un context concret. Ara es poden determinar en cada organització o generant estàndards sectorials, sempre subjectes a un procés de millora contínua: definir-les / avaluar-les / auditar-les / redefinir-les.
Les mesures de seguretat s'han de formular partint de la privacitat des del disseny (no es poden pensar les mesures de seguretat un cop un tractament ja està implantat, ans el contrari, la reflexió sobre protecció de dades s'ha d'incorporar des del primer moment en que es dissenya una activitat que suposi tractar dades) i la privacitat per defecte (per aconseguir una finalitat determinada, com menys dades es tractin i durant menys temps, millor).
En el punt en que estem, s'ha de començar per mantenir les mesures aplicades fins a dia d'avui i, a mesura que l'anàlisi dels riscos ho aconselli, millorar-les o substituir-les per altres més eficients. És un plantejament erroni pensar en eliminar mesures actualment implantades sense implantar-ne d'altres que assoleixin millor el mateix objectiu.