È la conseguenza (vedi voce corrispondente) di un evento cui si aggiunge un aspetto dimensionale. Esempi: accesso non autorizzato ai dati personali del signor X, perdita dei dati personali di tutti i clienti.

L’impatto viene misurato a posteriori rispetto ad un evento. Nella valutazione del rischio per i dati personali, quando l’evento non si è ancora verificato, l’impatto deve essere stimato seguendo queste indicazioni di massima: grado di reversibilità, natura dei dati oggetto dell’evento, numero di interessati coinvolti

Esempio di scala di valori dell’impatto: Basso impatto, Medio impatto, Alto impatto