Queste le misure nel dettaglio: è prevista la segnalazione del problema entro 24 ore alle autorità nazionali da parte delle società, la comunicazione della tipologia di informazioni coinvolte e le misure per risolvere la situazione, oltre a definire i criteri in base a cui informare gli utenti. L’Unione europea incentiva poi le imprese a criptare i dati personali, per renderne più difficile la lettura alle persone non autorizzate. Il nuovo regolamento sulla privacy prevede che, per esempio, le imprese interessate informino dell’incidente l’autorità nazionale competente entro 24 ore dalla sua rilevazione, per contenerne quanto più possibile le conseguenze; nel caso in cui non sia possibile fornire informazioni complete entro tale termine, devono comunicarne una prima serie entro 24 ore, con il resto a seguire entro tre giorni. L’impresa deve indicare le informazioni compromesse e le misure che ha attuato o intende attuare. Per la notifica all’autorità nazionale competente andrà utilizzato un formato standard, per esempio un modulo online uguale per tutti gli Stati membri dell’UE. Le nuove regole sono state concordate da un comitato di Stati membri e sottoposte al vaglio del Parlamento europeo e del Consiglio.