il 25 maggio 2018 è entrato in vigolre il nuovo regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy.

Con questo regolamento, si è inteso rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione europea e dei residenti nell'Unione europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE).

Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'Unione europea) che trattano dati di residenti nell'Unione europea ad osservare e adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE. Dalla sua entrata in vigore, il RGPD ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, ha abrogato le norme del codice per la protezione dei dati personali (dlgs.n. 196/2003) con esso incompatibili. Tramite un'altra Direttiva collegata, la UE 2016/680, in aggiunta a questo nuovo regolamento, sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorità Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale.
Tutti i soggetti che per la loro attività detengono e trattano dati altrui sono obbligati quindi al rispetto delle nuove norme ed al conseguente adeguamento dei rispettivi sistemi di gestione dei dati. 
Chi non rispetta le nuove disposizioni è assoggettato ad importanti sanzioni
Le sanzioni per comportamenti scorretti possono arrivare sino al 4% del fatturato globale o a 20 milioni di euro e possono essere inflitte a persone fisiche, a soggetti giuridici privati o pubblici, specificamente ai titolari e i responsabili del trattamento, ovvero il DPO (Data Protection Officer, nuova figura introdotta dal GDPR) oppure gli organismi di certificazione e di monitoraggio dei codici di condotta.