Afin de protéger efficacement les données personnelles, les autorités de protection de données disposent en général de pouvoirs de contrôle et de sanction. Toutefois, ceux-ci sont très différents selon les pays, parfois peu efficaces, voire simplement absents. La législation européenne, notamment la proposition de règlement du 12 janvier 2012, tente d’unifier les réglementations pour que celles-ci disposent de pouvoirs plus dissuasifs.