Il Regolamento generale sulla protezione dei dati prevede che gli interessati abbiano maggiore consapevolezza e controllo sui propri dati personali. I dati devono essere trattati in modo lecito, corretto e trasparente. Devono essere adeguati, pertinenti, ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità perseguite, in modo da garantirne un'adeguata sicurezza. Inoltre, il cliente/paziente deve dare esplicito consenso all’utilizzo dei propri dati e deve essere informato nel caso di cambiamenti nelle policy. 
Tutte le aziende dovranno conformarsi al Regolamento per non incorrere in gravose sanzioni, che a seconda che del trasgressore (persona fisica o impresa) possono arrivare fino ad un massimo del 4% del fatturato totale annuo.

Il GDPR ha istituito la figura del DPO (Data Protection Officier).
Si tratta di un supervisore con competenze specialistiche della normativa e della prassi in materia di protezione dati, incaricato dal Titolare di assicurare una corretta gestione dei dati personali.
Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell'adempimento e della disciplina privacy.
Può essere selezionato tra i dipendenti del Titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base ad un contratto di servizi.