O risco não é uma categoria absoluta: resulta da combinação entre a natureza dos dados (sensibilidade e forma de tratamento), o âmbito do tratamento (extensão, escala e volume dos dados), o contexto (circunstâncias da relação entre o responsável e o participante, incluindo, por exemplo, tecnologias utilizadas e as características das populações envolvidas) e os objetivos da investigação (nível de intrusão na privacidade, se é legítima, consequências para o participante).
Quanto mais elevado for o risco — real ou potencial — de ocorrência de danos concretos para os participantes (como discriminação, perda de oportunidades, exclusão social ou perda de controlo sobre os seus dados), maior deve ser o nível de proteção implementado, dado que esses danos correspondem, em última análise, a uma afetação dos seus direitos e liberdades fundamentais. Isto inclui medidas de transparência, gestão adequada do consentimento, minimização e segurança dos dados, entre outras, e, quando aplicável, avaliação por comissões de ética ou outras estruturas de supervisão.
A análise de risco deve ser iniciada desde a fase de planeamento do projeto, antes da recolha de dados, e revista sempre que o tratamento evolua ou se alterem os pressupostos iniciais (por exemplo, nova recolha de dados, introdução de novas tecnologias, reutilização ou partilha de dados). A identificação, avaliação e mitigação de risco corresponde, na prática, ao que o RGPD e o Regulamento n.º 798/2018 da Comissão Nacional de Proteção de Dados (CNPD) designam como Avaliação de Impacto sobre a Proteção de Dados (AIPD).