L’esperienza ci insegna che il rischio nullo non esiste. Quindi, il titolare o il responsabile del trattamento devono tenere aggiornati i meccanismi che hanno adottato per garantire la protezione dei dati personali.

Questo deve essere fatto sempre: sia quando i rischi sono elevati (per esempio a seguito di DPIA) sia quando è stato stabilito che il trattamento non comporta particolari rischi.

La gestione del rischio è l’insieme dei processi e degli strumenti che consentono di controllare il rischio al mutare delle condizioni di contesto.