Uno degli errori più frequenti è il confondere la valutazione dei rischi con il DPIA (Data Protection Impact Assessment ) che oltre ad essere due cose diverse, avvengono anche in momenti diversi.

E’ importante, prima di spiegare tale differenza, chiarire un punto fondamentale, come disposto dal regolamento europeo GDPR 2016/679, la valutazione dei rischi è obbligatoria e fondamentale per ogni trattamento.

Al contrario il DPIA è obbligatorio solo per alcuni trattamenti, come dice l’articolo 35, paragrafo 1, illustrato dall’articolo 35, paragrafo 3 e completato dall’articolo 35, paragrafo 4, l’esecuzione di una DPIA è obbligatoria soltanto se è probabile che il trattamento ” provochi un elevato rischio per i diritti e le libertà delle persone fisiche”, dato che l’obbligatorietà del DPIA si basa su di un potenziale rischio elevato è possibile che diventi obbligatorio anche in seguito all’introduzione di un nuovo sistema di elaborazione dati.

La valutazione dei rischi invece ci aiuta a determinare se i dati collezionati sono al sicuro da attacchi esterni o fattori accidentali, grazie ad essa sappiamo qual è il nostro livello di partenza e possiamo di conseguenza adeguarci, in caso fossimo stati trovati insufficienti, agli standard ufficiali.