Orientările publicate de Grupul de lucru articolul 29 (actualul European Data Protection Board) conțin o serie de indicii utile în analiza riscului unui incident de securitate privind datele personale.
Preambulul 75 și 76 din GDPR sugerează că, în general, la evaluarea riscului ar trebui luată în considerare:
- probabilitatea și
- gravitatea riscului pentru drepturile și libertățile persoanelor vizate;
- alte elementele obiective care pot constitui o evaluare a riscului.
Analiza riscului se poate face anterior, la momentul conceperii operațiunilor de prelucrare (iar rezultatele vor fi în strânsă legătură cu prezența sau nu a unei obligații de realizare a evaluărilor de impact în cazul riscului ridicat), dar și ulterior, la momentul efectiv al producerii incidentului de securitate.
De regulă, analiza unui risc ipotetic este mult mai complexă, din moment ce trebuie luate în considerare o serie de lucruri importante care ar putea să nu fie niciodată puse în practică. Altfel spus, riscul poate viza "depășirea" oricărui tip de măsuri de securitate, poate viza orice combinație de persoane vizate, cu rezultate dintre cele mai diverse. De aceea, ca element premergător al realizării unei evaluări de impact, analiza riscului este, practic, punctul central al oricărui tip de argumentare pentru existența sau lipsa unei evaluări de impact pentru o anumită prelucrare.
Atunci când se analizează, punctual, un incident de securitate produs deja, Grupul de lucru articolul 29 recomandă să se aibă în vedere următoarele criterii.
1. Tipul de încălcare. De exemplu, vorbim despre distrugerea unor date sau despre accesul neautorizat la acestea?
2. Natura, sensibilitatea și volumul datelor cu caracter personal. De exemplu, încălcările care implică date privind sănătatea, documente de identitate sau date financiare, cum ar fi detaliile cărții de credit, pot provoca prejudicii ca atare, dar dacă sunt utilizate împreună pot fi folosite pentru furtul de identitate. O combinație de date cu caracter personal este în mod obișnuit mai sensibilă decât un singur element de date cu caracter personal.
3. Ușurința identificării persoanelor. Un factor important care trebuie luat în considerare este cât de ușor va fi pentru o parte care are acces la date cu caracter personal compromise să identifice anumite persoane sau să coreleze datele cu alte informații pentru a identifica persoane.
4. Gravitatea consecințelor pentru persoane. Potențialele prejudicii care ar putea rezulta la adresa persoanelor pot fi deosebit de grave, în special în cazul în care încălcarea poate conduce la furt sau fraudă de identitate, stres psihologic, umilire sau compromiterea reputației. În cazul în care încălcarea se referă la date cu caracter personal referitoare la persoane vulnerabile, acestea ar putea fi expuse unui risc mai mare de apariție a unui prejudiciu.
5. Caracteristici speciale ale persoanei (de exemplu, copii, persoane vulnerabile etc.).
6. Caracteristici speciale ale operatorului de date (de exemplu, organizație medicală, școală etc.).
7. Numărul persoanelor afectate.
8. Puncte generale. Agenția Uniunii Europene pentru Securitatea Rețelelor și a Informațiilor a elaborat recomandări pentru o metodologie de evaluare a gravității unei încălcări, pe care operatorii și persoanele împuternicite de operator ar putea să o considere utilă atunci când elaborează planul de răspuns pentru gestionarea încălcărilor.