Con il regolamento si favorisce la circolazione del dato e si rafforzano gli interessi dell’interessato, il quale è tenuto a sapere, il quale ha il diritto di sapere come vengono utilizzati i dati per tutelare lui e l'intera collettività dai rischi.

Il principio cardine è l’autodeterminazione informatica,  una condizione necessaria per il libero sviluppo della personalità del cittadino e anche un elemento essenziale di una società democratica. 

La responsabilità del titolare e dei responsabili del trattamento si deve concretizzare con un effettiva adozione del regolamento, non è più ammesso il mero consenso come un libero trattamento dei dati, in quanto il consenso funge solo da base per legittimarne il trattamento. Si avverte la necessità di misure di tutela e garanzia che demanda ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento:

• Principio “privacy by design”, secondo tale principio i servizi e i prodotti devono essere progettati in modo da tutelare la privacy degli utenti , il trattamento dei dati deve essere configurato fin dall’inizio in modo tale da tutelare i diritti degli interessati ;

• Rischio del trattamento, inteso come valutazione dell'impatto negativo sulle libertà e i diritti degli interessati. 

Si sta prediligente un approccio che si basa sulla valutazione del rischio, cosa che da un lato comporta degli obblighi che vanno oltre la mera conformità di legge , dall’altro invece delega la valutazione del rischio all’azienda , che ovviamente tende a considerare le esigenze dell’azienda stessa rendendo meno burocratica la gestione dei dati, con l'evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametri anche all'organizzazione della stessa

Il regolamento porta delle complicazioni a livello giuridiche che richiederanno conoscenze in materia, infatti il GDPR prevede che i titolari del trattamento dovranno identificare la base giuridica del trattamento e documentarla, in quanto in relazione alla base giuridica possono variare i diritti dell'interessato. Ad esempio, è stato rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso. Il consenso, però, è solo una delle sei basi giuridiche previste, per cui è preciso dovere del titolare valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere. 
Inoltre, la base giuridica è tra gli elementi essenziali dell'informativa e deve essere evidenziata in riscontro ad una istanza di accesso.

Il campo di applicazione del GDPR si limita ai soli dati delle persone fisiche, con esclusione delle persone giuridiche, e di estende a tutti gli stati dell’Unione, ma anche in generale a quelli che, offrendo beni e servizi a persone residenti nell'Unione, trattano dati di residenti nell'Unione europea .

Non si applica invece nei casi di:

• trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;

• trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse 

• trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico 

Questo recente regolamento fa un sostanziale passo avanti in materia di protezione e tutela dei dati, che richiedono misure di sicurezza per evitare attacchi da persone esterne, l’importanza della tutela dei dati si intuisce anche dal recente hackeraggio al colossale social network facebook, eseguito da ignoti sfruttando una falla nella sicurezza, a danni di circa 50 milioni di account.

Tale danno ha dato la possibilità a terzi estranei di trattare e disporre di account, dati personali, password, e altre informazioni caricate sulla piattaforma. Il problema al sistema è stato aggiustato nei giorni seguenti, ma ciò ha riportato ripercussioni non indifferenti al social e facendo emergere in maniera evidente come è essenziale un adeguata protezione nel trattamento dei dati.