El nuevo marco jurídico de protección de datos personales ha empezado a aplicarse en la Unión hace tres años. Desde el 25 de mayo de 2018 todos los estados miembros tienen la misma ley.

En el 2018 el Reglamento Europeo n. 2016/679 – Reglamento Europeo de Protección de Datos (GDPR) ha empezado a aplicarse en todos los estados miembros de la Unión y en Islandia, Liechtenstein y Noruega, convirtiéndose así en aplicable en todo el Espacio económico Europeo (EEE). La propuesta de reglamento ha sido presentada desde la Comisión Europea en 2012, junta a la propuesta de directiva para disciplinar el tratamiento de datos personales por parte de las autoridades competentes en materia de prevención, investigación y persecución de crímenes. Ambos los instrumentos han sido aprobados y entraran en vigor en 2016, con un periodo de transición de dos años desde su implementación.

Con el GDPR se ha creado el Comité de Protección de Datos Europeo (EDPB), un organismo Europeo compuesto desde todas las Autoridades de Control Nacionales y desde la Supervisor Europeo de protección de Datos (SEPD), que tiene también la Comisión Europea sin el derecho de votar. El GDPR ha introducido un mecanismo de cooperación y un mecanismo de coherencia para garantizar la correcta implementación en todos los países. En este contexto, el Comité Europeo ha emitido su primera opinión sobre la adopción de un código de conducta europeo presentado desde los proveedores de servicios de infraestructura de cloud computing (CISPE).