El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, considerando los siguientes factores:
I. El riesgo inherente por tipo de dato personal;
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnológico, y
IV. Las posibles consecuencias de una vulneración para los titulares.
De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos:
I. El número de titulares;
II. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento;
III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión, y
IV. Demás factores que puedan incidir en el nivel de riesgo o que resulten de otras leyes o regulación aplicable al responsable.
