L'intento di questa valutazione è quello di aiutare i titolari del trattamento a compilare il modulo ufficiale per la notifica della violazione dei dati all’autorità di controllo, stimando le probabili conseguenze della violazione stessa.
La metodologia qui presentata mira a fornire una valutazione quantitativa della gravità sulla base di alcuni parametri oggettivi fondamentali. Come è ovvio, la quantificazione finale della gravità è direttamente proporzionale al rischio per i diritti e le libertà delle persone fisiche di cui al GDPR. Il titolare del trattamento deve notificare la violazione dei dati personali all'autorità di controllo, a meno che possa dimostrare che è improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento ha l'obbligo di documentare internamente la violazione dei dati in tutti i casi, e ciò è ancora più importante quando non viene effettuata alcuna notifica; si dovrebbe tenere conto in particolare delle circostanze relative alla violazione dei dati personali dalle quali si evince l’assenza di rischi per i diritti e le libertà delle persone fisiche.