De nombreux pays disposent de lois qui rendent obligatoire la notification des violations de données, par exemple, les Philippines, la loi de 2012 sur la protection des données à caractère personnel ; le Qatar, la loi n° (13) de 2016 concernant la protection des données personnelles ; et l'Indonésie, règlement n° 82 de 2012 concernant les dispositions relatives aux systèmes et transactions électroniques et son règlement d'application, règlement n° 20 de 2016 concernant la protection des données personnelles dans un système électronique. Et pourtant ces notifications ne sont toujours pas obligatoires dans la majorité des pays, ce qui est le cas, par exemple, en Argentine, en Bélarus, au Costa Rica, en Égypte, au Japon, à Macao, en Malaisie, à Madagascar, à l’Ile Maurice, au Panama, en Russie et en Arabie saoudite, et/ou elles ne sont obligatoires que pour le secteur privé, et non pour le secteur public, voire seulement pour certains secteurs de la société, ce qui est le cas par exemple en Angola et en Serbie. En Argentine, même si la notification des violations de données n'est pas obligatoire, les autorités sont tenues de les consigner dans un registre au cas où des informations sur de telles violations seraient demandées dans le cadre d'une enquête ou d'un audit.
DLA Piper a mis en ligne une carte mondiale interactive des lois sur la protection des données, ainsi qu'une base de données interrogeable des législations nationales sur la protection et la notification des violations de données.
La législation sur la notification des violations de données comporte des dispositions relatives à son application, par exemple quant aux personnes, agences et/ou autorités auxquelles elle s'applique et ce qu’elle définit comme constituant une violation. Elle impose aux entités victimes d’une violation, et auxquelles cette législation s’applique, de contacter les personnes dont les données ont été violées, ainsi que les autres parties concernées, pour les informer de l'incident.
Ces dispositions précisent notamment la manière dont se fait la notification, les délais applicables et les personnes, agences et/ou autorités qui doivent être contactées en cas de violation. Le RGPD, par exemple, impose la notification obligatoire, dans un délai de 72 heures, de tout accès non autorisé à un système et à des données, ou pour toute utilisation ou diffusion non autorisée de données (article 33). Les sous-traitants sont tenus d'informer les responsables du traitement dans les 72 heures suivant une violation, et ces derniers doivent informer dans le même délai l'autorité de surveillance compétente de l'État membre concerné de l'UE.
Sont également spécifiées des exceptions à l'obligation de notification. Par exemple, selon le RGPD, la notification à la personne concernée dépend du degré de gravité de la violation des données (article 34). Ainsi, dans certains pays, la loi n’impose pas la notification lorsqu’il est établi qu’il est probable que la violation ne portera préjudice aux parties concernées ; dans d’autres pays, il y a obligation de notification lorsque la violation passe un seuil spécifié. Aux États-Unis, la loi sur la portabilité et la responsabilité de l'assurance maladie (Health Insurance Portability and Accountability Act, HIPAA) exige la notification des parties concernées dans les 60 jours suivant une violation. En cas d’accès non autorisé aux données de santé de plus de 500 personnes, les médias et le Bureau des droits civils du Département de la santé et des services sociaux doivent être contactés dans les 60 jours suivant la violation. En revanche, si les données affectées par la violation concernent moins de 500 personnes, il n’y a pas d’obligation de notifier les médias et le Bureau des droits civils du Département de la santé et des services sociaux ne doit être contacté que dans les 60 jours après le début de l'année civile suivante (HIPPA Journal, 2015).
Dans d’autres pays, ces dispositions exigent la mise en œuvre de mesures de sécurité, pour assurer la protection, par les entités qui traitent des données, et/ ou, de la part des entités victimes d’une violation, la mise en œuvre de mesures pour redresser la situation et/ou réparer le préjudice, ce qui est le cas, par exemple, au Canada, en Indonésie et aux États-Unis.