A má gestão de dados de privacidade é uma responsabilidade latente em todas as empresas comerciais. A própria definição de dados de privacidade evolui ao longo do tempo e foi ampliada para incluir informações sobre a saúde, o patrimônio, as notas acadêmicas, a geolocalização e os hábitos de navegação de um indivíduo. Regulamentações estão proliferando em níveis estadual, nacional e internacional, buscando definir dados de privacidade e estabelecer controles que regem sua manutenção e uso.
As regulamentações existentes são relativamente novas e estão sendo transpostas para práticas comerciais operacionais por meio de uma série de contestações judiciais em andamento, o que aumenta a confusão quanto aos procedimentos adequados de tratamento de dados. Neste ambiente confuso e, às vezes, caótico, os riscos à privacidade enfrentados por quase todas as empresas são frequentemente ambíguos, em constante mudança e expansão.
Ferramentas convencionais de segurança da informação (infosec) são projetadas para prevenir a perda inadvertida ou o roubo intencional de informações sensíveis. Elas não são suficientes para impedir a má gestão de dados confidenciais. As salvaguardas de privacidade não só precisam prevenir a perda ou o roubo, como também devem impedir a exposição inadequada ou o uso não autorizado desses dados, mesmo quando não houve perda ou violação.