La mauvaise gestion des données personnelles est un risque potentiel pour toute entreprise commerciale. La définition même des données personnelles évolue au fil du temps et s'est élargie pour inclure des informations sur la santé, le patrimoine, les résultats scolaires, la géolocalisation et les habitudes de navigation d'un individu. Les réglementations se multiplient aux niveaux étatique, national et international pour définir les données personnelles et établir des contrôles régissant leur conservation et leur utilisation.
Les réglementations existantes sont relativement récentes et se traduisent en pratiques opérationnelles par une série de contestations judiciaires en cours, ce qui ajoute à la confusion quant aux procédures appropriées de traitement des données. Dans cet environnement confus et parfois chaotique, les risques pour la vie privée auxquels sont confrontées presque toutes les entreprises sont souvent ambigus, en constante évolution et en constante expansion.
Les outils conventionnels de sécurité de l'information (infosec) sont conçus pour prévenir la perte accidentelle ou le vol intentionnel d'informations sensibles. Ils ne suffisent pas à prévenir la mauvaise gestion des données confidentielles. Les mesures de protection de la confidentialité doivent non seulement prévenir la perte ou le vol, mais aussi l'exposition inappropriée ou l'utilisation non autorisée de ces données, même en l'absence de perte ou de violation.