L’Art. 32 prevede, a carico del Titolare del Trattamento, l’obbligo di “… valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

Considerata la previsione sopra descritta, consolidata dalla letteratura in materia formulata in questi ultimi mesi, la valutazione dei rischi ai fini privacy è obbligatoria e fondamentale per determinare se un trattamento presenta un rischio elevato per la libertà e i diritti degli interessati.

La valutazione dei rischi del trattamento è indipendente dalla DPIA.

Per ogni trattamento il Titolare deve effettuare una valutazione dei Rischi Privacy per valutare se, considerando le minacce che potrebbero verificarsi, le misure di sicurezza sono adeguate alla mitigazione del rischio.

Diversamente dalla Valutazione d’Impatto Privacy (DPIA), la valutazione dei rischi va eseguita per tutti i trattamenti; solo per i trattamenti che presentano i fattori dettati dal provvedimento del Garante Privacy dello scorso ottobre, e del WP 248, è necessaria la conduzione del DPIA.