Il contesto in cui vengono trattati i dati personali è costituito dalle condizioni interne ed esterne in cui opera il titolare o il responsabile.
Dalla definizione viene in luce una distinzione fondamentale tra contesto interno e contesto esterno.
Il contesto interno è determinato dal titolare o dal responsabile ed è costituito dall’insieme di processi, persone e strumenti che sono applicate al trattamento dei dati personali.
Il contesto esterno è costituito dall’ambiente circostante l’interessato ed il titolare.
Per esempio, contesto interno può essere la dislocazione di un archivio. Se l’archivio è lontano dalla zona in cui gli impiegati devono trattare le pratiche contenenti dati personali, esiste un rischio più elevato di lasciare le pratiche, magari incustodite, sulle loro scrivanie.
Un altro esempio di contesto interno può essere la modalità con la quale vengono conservati i dati personali. Un’azienda potrebbe aver scelto di distribuirli su server collocati in paesi diversi (alcuni in India, altri in Venezuela e così via). È ovvio che tale contesto presenta rischi diversi rispetto ad un contesto in cui si è scelto di centralizzare la memorizzazione su un server tedesco.
Un esempio di contesto esterno è, invece, la dislocazione di server in paesi esteri che, successivamente, hanno presentato scenari da guerra civile.
Il contesto è, quindi, mutevole e, pertanto, costituisce un elemento da valutare continuamente al fine di gestire correttamente i rischi.