Il provvedimento riafferma le misure tecniche e organizzative individuate nel 2013: regole rigorose a protezione dei data base della P.A., contraddistinti da un'ingente mole di dati trattati, dalla delicatezza delle informazioni contenute e dalla molteplicità dei soggetti autorizzati ad accedervi.
Per innalzare ulteriormente i livelli di tutela dei dati, il Garante tra l'altro, ha prescritto che le Amministrazioni dello Stato - compresi gli istituti e le scuole di ogni ordine e grado, le Regioni e le Province, anche quelle autonome, i Comuni, le Aziende e gli Enti del Servizio sanitario nazionale e gli Enti pubblici non economici - informino il Garante di tutte le violazioni o incidenti informatici (i "data breach") che possono avere un impatto significativo sui dati personali contenuti nelle banche dati.
Tra le misure individuate dall'Autorità si segnalano: la redazione da parte della P.A. erogatrice di un documento, costantemente aggiornato, con l'elenco delle banche dati accessibili e i dati disponibili ai fruitori esterni; il divieto per il soggetto pubblico fruitore di estrarre dati in via automatica e massiva per creare nuove banche dati; l'identificazione dei soggetti con accesso alla banca dati e il tracciamento delle operazioni compiute; la cifratura dei dati sensibili e giudiziari.
