По подсчетам специалистов юридической фирмы DLA Piper, с момента вступления в силу в мае 2018 года европейского общего регламента о защите данных (GDPR) в ЕС было подано 59430 уведомлений о происшествиях, связанных с нарушениями защиты данных. Регламент требует от компаний уведомлять регулирующие органы и граждан, чьи личные данные могли попасть в чужие руки, в течение 72 часов после того, как о происшествии стало известно. Большинство уведомлений было подано в Нидерландах (15400 уведомлений), Германии (12600) и Великобритании (10600).
Однако за все это время регулирующие органы наложили на компании только 91 штраф за нарушения GDPR, и не все из них были связаны с утечкой данных — например, самый большой штраф в 50 млн евро был наложен на Google за обработку личных данных в целях рекламы без предварительного получения разрешения. В Германии штраф в 20 тыс. евро получила компания, не использовавшая для защиты паролей криптографические хэши, а в Австрии штраф в 4800 евро был наложен за применение системы видеонаблюдения, в поле зрения которой попала часть общественного тротуара. Регулирующие органы не успевают рассмотреть все уведомления, полагают в DLA Piper.