應當指出的是，美國州立法院在這些問題上可以更寬容一些。由于他們是根據州法律來判決民事案件，他們不需要按照聯邦憲法的標準。假設原告將訴訟提交給州立法院(這對于集體訴訟可能很難，因為數據泄露事故通常都會影響整個國家的消費者)，那應該按照州法，而不是憲法或者聯邦法規的立場。
第三，原告會提出什么控告?
他們越來越多地會提出疏忽、違反合約、消費者保護和不正當競爭等。事實上，我們對過去三年的案件調查顯示，疏忽主張越來越受歡迎。上面提及的Home Depot數據泄露訴訟就包括疏忽，疏忽本身，以及違反各種不公平和欺騙性貿易慣例法規。
原告通常不能轉向數據泄露通知法規。雖然這些法規通常會為州檢察長辦公室提供對違反這些法規的人的制裁權力，但很少向個人消費者或州居民提供私人的行動權。
值得注意的是，數據泄露訴訟通常是以和解或解雇為結果;很少有案件得到裁決。對于一般民事訴訟來說確實是這樣，大多數案件從未在審判中得到最終裁決。舉例來說，Home Depot訴訟有兩個集體訴訟和解：一個是消費者集體訴訟，另一個是金融機構集體訴訟。
對于一家遭受數據泄露的公司來說，這可能看起來不公平，在淪為犯罪活動的受害者后，該公司可能還不得不面臨監管合規和潛在訴訟。有跡象表明，美國各州和聯邦執法機構越來越多地將公司視為受害者，而不是以某種方式參與數據泄露事故。
盡管如此，只要企業收集、維護和使用機密的個人信息，他們就必須維持合理的安全策略以保護信息的安全，并在發生數據安全事件時謹慎行事。合理的行動可增加后續訴訟的成功率，但并不能保證一定成功。最大限度減少對消費者的傷害不僅是正確的做法，而且可在數據泄露訴訟中提高企業自身的辯護。