A má gestão de dados pessoais é um risco latente em todas as empresas comerciais. A própria definição de dados pessoais está em constante evolução e foi ampliada para incluir informações sobre a saúde, patrimônio, notas acadêmicas, geolocalização e comportamento de navegação na internet de um indivíduo. Regulamentações estão se proliferando nos níveis estadual, nacional e internacional, buscando definir dados pessoais e estabelecer controles que regem sua manutenção e uso.
As regulamentações existentes são relativamente novas e estão sendo traduzidas em práticas comerciais operacionais por meio de uma série de contestações judiciais em andamento, o que aumenta a confusão em relação aos procedimentos adequados de tratamento de dados. Nesse ambiente confuso e, por vezes, caótico, os riscos à privacidade enfrentados por quase todas as empresas são frequentemente ambíguos, em constante mudança e expansão.
As ferramentas convencionais de segurança da informação (infosec) são projetadas para evitar a perda acidental ou o roubo intencional de informações sensíveis. Elas não são suficientes para impedir o gerenciamento inadequado de dados pessoais. As medidas de proteção de privacidade não devem apenas evitar a perda ou o roubo, mas também a exposição inadequada ou o uso não autorizado desses dados, mesmo quando nenhuma perda ou violação tenha ocorrido.