Si chiama GDPR, che letteralmente sta per “General Data Protection Regulation”, e dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati Membri dell’UE.
Il GDPR introduce e modifica numerosi aspetti della disciplina della privacy, tra cui il concetto di accountability del Titolare del trattamento, ovvero una responsabilizzazione dello stesso, che dovrà ora infatti essere in grado di comprovare il rispetto dei principi fissati dal GDPR (liceità, correttezza e trasparenza nel trattamento dei dati; limitazione delle finalità di trattamento; minimizzazione ed esattezza dei dati trattati; integrità e riservatezza nonché limitazione della conservazione dei dati trattati) e che permeano tutti i relativi adempimenti e obblighi.
In linea con questo approccio, è stato introdotto il concetto di “Privacy by Design”, ovvero il rispetto e la considerazione di possibili future implicazioni durante la progettazione di un nuovo bene/servizio che verrà offerto in futuro sul mercato.

È dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
In particolare il Regolamento include – a differenza del Codice Privacy – i significati di dato genetico, biometrico e sanitario.
Il GDPR attribuisce anche una specifica protezione per i dati personali “particolari” che, per loro natura, sono maggiormente sensibili. Sono particolari, ed è vietato trattare, i dati personali che rivelino:
• l’origine razziale o etnica;
• le opinioni politiche;
• le convinzioni religiose o filosofiche;
• l’appartenenza sindacale;
• dati genetici;
• dati biometrici intesi a identificare in modo univoco una persona fisica;
• dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;
salvo consenso esplicito degli interessati o necessità di assolvere a specifici obblighi.