La mala gestión de datos de privacidad es un riesgo latente en toda empresa comercial. La propia definición de datos de privacidad evoluciona con el tiempo y se ha ampliado para incluir información sobre la salud, el patrimonio, las calificaciones universitarias, la geolocalización y los hábitos de navegación web de una persona. Proliferan las regulaciones a nivel estatal, nacional e internacional que buscan definir los datos de privacidad y establecer controles que rijan su mantenimiento y uso.
Las regulaciones vigentes son relativamente nuevas y se están trasladando a las prácticas comerciales operativas mediante una serie de recursos judiciales en curso, lo que aumenta la confusión sobre los procedimientos adecuados para el manejo de datos. En este entorno confuso y, a veces, caótico, los riesgos de privacidad que enfrentan casi todas las empresas suelen ser ambiguos, cambian constantemente y se expanden continuamente.
Las herramientas convencionales de seguridad de la información (infosec) están diseñadas para prevenir la pérdida accidental o el robo intencional de información confidencial. No son suficientes para prevenir la mala gestión de los datos confidenciales. Las salvaguardas de la privacidad no solo deben prevenir la pérdida o el robo, sino también la exposición inapropiada o el uso no autorizado de dichos datos, incluso cuando no se haya producido ninguna pérdida o vulneración.