A avaliação do risco deve considerar, para cada fator crítico identificado, a probabilidade de ocorrência e a gravidade do impacto que o tratamento de dados pode ter nos direitos e liberdades dos participantes — como discriminação, exclusão social, impacto reputacional, perda de oportunidades, fraude ou perda de controlo sobre os próprios dados.
O objetivo é determinar se a combinação entre probabilidade e impacto pode resultar em danos concretos para os participantes. Assim:
• Fatores com baixa probabilidade e baixa gravidade podem ser desconsiderados.
• Fatores com baixa probabilidade mas impacto grave, ou alta probabilidade mesmo com impacto moderado, devem ser classificados como de risco moderado ou elevado e incluídos na contagem final.
De forma prática, cada fator deve ser classificado como baixo, moderado ou elevado em termos de risco, contabilizando apenas os de nível moderado ou elevado. Esta lógica aplica-se a todos os tipos de risco, exceto nas transferências internacionais, que só devem ser avaliadas se o país de destino não tiver uma decisão de adequação da Comissão Europeia quanto à proteção de dados.