La valutazione dell’impatto del trattamento sulla protezione dei dati a partire dai rischi potenziali può essere effettuata combinando la stima della possibilità di accadimento con la gravità relativa agli effetti che l’eventuale verificarsi di accadimenti a rischio può determinare.
Ad ogni rischio potrebbe essere connessa una stima valoriale (numerica) della possibilità di accadimento:
| POSSIBILITA’ DI ACCADIMENTO | VALORE |
| Mai accaduto e improbabile | 1 |
| Non accaduto ma possibile | 2 |
| Già accaduto ma non dovrebbe ripetersi | 7 |
| Già accaduto e può ripetersi | 9 |
Ad ogni effetto potrebbe essere connessa una stima valoriale (numerica) della gravità.
| GRAVITA’ | VALORE |
| Nessun rischio specifico | 1 |
| Danno per la reputazione, discriminazioni, altri svantaggi economici e sociali | 3 |
| Furto d’identità, perdita del controllo dei dati | 5 |
| Impossibilità ad esercitare diritti, usufruire di servizi, cogliere opportunità | 7 |
| Perdite finanziarie, danni fisici o psicologici | 9 |
In questo modo, incrociando possibilità e gravità avremmo uno strumento approssimativo ma funzionale per classificare il livello di impatto potenziale. A titolo esemplificativo nell’ambito dei valori sopra indicati avremmo la seguente combinazione:
L’impatto potenziale, potrebbe, in questo esempio, essere classificato in 4 livelli:
- Livello 1 (fino a 9 – verde): impatto insignificante per l’interessato. Per l’Organizzazione: non vi è perdita finanziaria, coinvolgimento della direzione, perdita di dati.
- Livello 2 (da 10 a 19 – giallo): impatto marginale per l’interessato. Per l’Organizzazione: l’impatto sul business è facilmente mitigato, si potrebbe verificare una perdita finanziaria e può richiedere un certo coinvolgimento della direzione, nessuna perdita esterna di dati.
- Livello 3 (da 20 a 49 – arancio): impatto moderato per l’interessato. Per l’Organizzazione: l’impatto sul business potrebbe richiedere risorse (principalmente interne), il che richiederà il coinvolgimento della direzione e avrà un impatto sui costi aziendali. Si potrebbe segnalare una piccola perdita di dati.
- Livello 4 (oltre 50 – rosso): impatto alto per l’interessato. Per l’organizzazione: l’impatto sul business richiede risorse aggiuntive per gli interventi di mitigazione e si dovrà coinvolgere l’alta direzione aziendale, l’impatto sui costi aziendali sarà importante. L’incidente dovrà essere segnalato con possibile ricorso al processo di gestione delle crisi o di continuità operativa.