Los protocolos de acceso y de custodia deben ser definidos por cada una de las entidades estatales, considerando, entre otras, los siguientes aspectos. Primero, las facultades legales y constitucionales. Segundo, la naturaleza, el alcance, el contexto y fines del Tratamiento de datos, así como los riesgos de diversa probabilidad y gravedad que entrañan el Tratamiento de los derechos y libertades de los ciudadanos. Tercero, tener presente lo establecido en la Ley Estatutaria 1266 de 2008 y la Ley Estatutaria 1581 de 2012. Cuarto, garantizar el respeto de los principios rectores en protección de datos personales, en particular, los principios de finalidad, acceso y circulación restringida, seguridad, confidencialidad, pertinencia y proporcionalidad, evitando, en todo caso, un acceso masivo de datos personales.