La valutazione del rischio di Data breach o comunque di modifica/divulgazione/distruzione non autorizzata deve essere eseguita per ogni attività di trattamento dati.
Per le attività che soddisfano due o più criteri di obbligo DPIA o hanno un livello di rischio ALTO occorre eseguire la valutazione di impatto (DPIA) che rappresenta un'analisi più specifica in cui vengono analizzati molteplici fattori così come da linea guida del gruppo WP 29.