Le sostanziali novità introdotte dal GDPR rispetto alle precedenti normative sulla privacy riguardano 4 ambiti precisi: l’ambito territoriale, l’ottenimento del consenso, l’introduzione del DPO e le sanzioni. 

L’ambito territoriale prevede che la nuova legge si applichi ai dati di tutti i cittadini europei e a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati. 

L’ottenimento di consenso: come prima, il consenso al trattamento dei dati deve essere libero, informato ed esplicito, poichè non sarà ammesso in alcun modo il consenso tacito o presunto. Novità per quanto riguarda i minori, il cui consenso sarà considerato valido a partire dai 16 anni, prima di quell’età il consenso deve essere espresso da un genitore o da chi ne fa le veci. 

Collegato all’ottenimento del consenso è l’introduzione del DPO, cioè del Data Protection Officer (in italiano Responsabile della Protezione dei Dati). Si tratta di una figura indipendente incaricata di assicurare una corretta gestione dei dati personali. Come è stato fatto notare, tuttavia, non è ancora bene chiaro cosa sia e che compiti abbia il DPO.

Anche le sanzioni in caso di eventuali violazioni sono cambiate. Chi infrangerà il GDPR (ad esempio con la mancata acquisizione del consenso) potrà arrivare ad avere multe fino al 4% del fatturato annuo o 20 milioni di euro.