Ketika terjadi kebocoran data pribadi, Danny menyebut bentuknya setidaknya ada 2 hal yakni data itu bocor ke pihak lain atau karena sistem yang gagal, sehingga data diretas dan dicuri atau sistemnya lumpuh. Jika terjadi kebocoran data, perusahaan harus segera memberitahukannya kepada subjek data pribadi. Pemberitahuan itu penting agar subjek data pribadi bisa melakukan mitigasi, misalnya melakukan pemblokiran dan tindakan lain. Jika terjadi peretasan atau kegagalan sistem, ini masuk kategori tindak kejahatan sehingga yang dilakukan adalah melapor ke aparat kepolisian.
Dalam kasus kebocoran data pribadi, Danny menjelaskan perusahaan tak melulu harus bertanggung jawab, harus dicermati dulu sebab kebocoran data tersebut. Jika perusahaan terbukti sudah melaksanakan kewajiban-kewajiban dalam ketentuan UU PDP dalam melindungi dan menjaga keamanan data pribadi, maka dia bisa lepas dari tanggung jawab kebocoran data.
UU PDP mengatur 2 proses dalam melindungi dan memastikan keamanan data pribadi. Pertama, menyusun dan menerapkan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan. Kedua, penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi.
Pengendali data pribadi wajib mencegah data pribadi diakses secara tidak sah. Pencegahan yang bisa dilakukan antara lain menggunakan sistem keamanan terhadap data pribadi yang diproses dan/atau memproses data pribadi menggunakan sistem elektronik secara andal, aman, dan bertanggung jawab.