La prima grande novità è nel titolo della legge. Non si parla più solo di protezione dei dati personali ma anche di libera circolazione dei dati.
Il GDPR lascia immutate le categorie di soggetti attori della catena delle responsabilità privacy, dal titolare al responsabile del trattamento; introduce il ruolo obbligatorio per le pubbliche amministrazioni ed in talune circostanze per i soggetti privati del ‘data protection officer’, detto anche responsabile della protezione dei dati, da non confondere con il responsabile del trattamento dei dati; introduce l’obbligatorietà della tenuta in capo a tutti i titolari del trattamento del registro dei trattamenti, una sorta di DPS; introduce l’obbligo di effettuare una valutazione di impatto privacy prima di introdurre una nuova tecnologia o un nuovo processo ad un trattamento; innalza il livello della cosiddetta accoutability, grande arma per le imprese, per creare valore attorno ai processi relativi all’uso dei dati ed introduce l’obbligo della privacy by design e by default, che può tradursi come l’obbligo per tutti di progettare nuovi beni e servizi tenendo sempre a mente le prerogative della minimizzazione del trattamento dei dati, oltre ad ogni altra norma posta dalla legge sulla privacy; permette alle multinazionali di avvalersi di una procedura di sportello unico (one stop shop) in sede comunitaria; da ultimo introduce un meccanismo sanzionatorio senza precedenti, con sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale globale di gruppo per le multinazionali.
A fronte dunque di una razionalizzazione e maggiore semplificazione di alcuni processi, anche con sostanziale sburocratizzazione di alcuni requisiti, viene tuttavia innalzato il livello di guardia a livello europeo, uniformando sanzioni e procedure, finora molto diverse.
La materia della protezione dei dati diventa a questo punto centrale in tutte le politiche di compliance aziendale, ma anche elemento cruciale delle politiche produttive e di business.