Los problemas legales son muy complicados, cambian (algunas veces de manera dramática) entre diferentes países y jurisdicciones. Incluso cuando hay leyes y regulaciones claras (por ejemplo, protección de la privacidad en el Reino Unido / UE), las sanciones / multas suelen ser bastante pequeñas, y las posibilidades de "quedar atrapados" son incluso menores. Soy consciente de algunos casos en los que supuestamente se cometieron infracciones, pero a la empresa no pareció importarle y, de hecho, no enfrentó ninguna sanción como resultado, o las sanciones fueron pequeñas.
Colocar 'archivos ilegales' (sea lo que sea), podría o no contar como una infracción legal, y podría o no conllevar sanciones. En algunos casos, es suficiente para demostrar que eliminó los archivos y colocó una mejor protección para evitar cualquier penalización (es decir, después de "ser capturado").
Teniendo eso en cuenta, creo que, a pesar de ello, el riesgo legal puede ser una buena manera de enfatizar por qué una empresa u organización debería proteger sus datos. Puede que no sea suficiente para hacer un argumento convincente. Quizás sea más fácil encontrar otras razones (exponiendo los detalles financieros de la compañía, mala publicidad o mala imagen de la compañía).
Por supuesto, un abogado en tu país te aconsejaría mucho mejor que yo. Especialmente si se especializan en estas áreas (derechos de autor, privacidad, comercio electrónico, etc.)
y, por supuesto, olvidé mencionar que IANAL.