Atunci când se analizează riscul unei prelucrări, se poate folosi o matrice de tipul celei de mai jos, construită de Autoritatea de Supraveghere din Marea Britanie, matrice care analizează riscul pe trei paliere: scăzut, mediu și ridicat.
Există însă și alte opinii, motiv pentru care nu e nevoie să ne limităm neapărat la ideea analizei riscului sub cele trei paliere. Potrivit Autorității de Supraveghere din Franța, următoarea scală poate fi utilizată pentru a estima probabilitatea riscului:
- neglijabil: nu pare posibil ca riscul să se materializeze prin folosirea proprietăților metodelor sau tehnicii de prelucrare (de exemplu, furtul documentelor de hârtie stocate într-o cameră protejată de cod de acces, urmat de un cititor de cartele);
- limitat: pare dificil ca riscul să se materializeze prin folosirea proprietăților metodelor sau tehnicii de prelucrare (de exemplu, furtul documentelor de hârtie stocate într-o cameră protejată doar de un cititor de cartele);
- semnificativ: este posibil ca riscul să se materializeze prin folosirea proprietăților metodelor sau tehnicii de prelucrare (de exemplu, furtul de documente de hârtie stocate în birouri la care se poate ajunge ca urmare a înregistrării la recepție);
- maxim: pare extrem de ușor ca riscul să se materializeze prin folosirea proprietăților metodelor sau tehnicii de prelucrare (de exemplu, furtul documentelor de hârtie stocate în sala de așteptare cu acces public).
Potrivit articolului 35 alineatul (3) al GDPR, DPIA se impune mai ales în cazul:
- unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea profilelor și care sta la baza unor decizii care produc efecte juridice asupra persoanei fizice sau care afectează în mod similar într-o măsură similară semnificativă (aici intra multe aspecte din mediul online);
- prelucrării pe scară largă a unor categorii speciale de date menționate la articolul 9 alineatul (1) sau datelor cu caracter personal privind condamnările penale și a infracțiunilor menționate în articolul 10; sau
- monitorizării sistematice pe o scară largă a unei zone accesibile publicului.
GDPR stabilește, în plus, faptul că statele membre ar putea, prin intermediul Autorităților de Supraveghere, să stabilească tipuri de prelucrări în cazul cărora este nevoie întotdeauna de realizarea unei evaluări de impact (art. 35 alin (4) al GDPR: "Autoritatea de supraveghere întocmește și publică o listă a tipurilor de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor").
În acest context, Autoritatea de Supraveghere din Bavaria a emis și o listă a tipurilor de prelucrări pentru care e nevoie de realizarea unei evaluări de impact.
Atenție! Trebuie menționat faptul că DPIA trebuie realizată înainte de orice prelucrare și "cât mai curând posibil în proiectarea operațiunii de procesare, chiar dacă unele operațiuni de prelucrare sunt încă necunoscute", precum și ori de câte ori există o "modificare semnificativă a operațiunii de prelucrare" (art. 35 alin 1 GDPR).