L’Unione Europea ha pubblicato il regolamento generale per la protezione dei dati il General Data Protection Regulation, (GDPR). Il documento è stato approvato dalla commissione nel maggio 2016. Dopo un periodo di transizione di due anni, le nuove norme dovranno essere applicate a partire dal 25 maggio 2018. Il regolamento fa riferimento al trattamento dei dati personali di tutti i soggetti censiti, compresi i clienti, i collaboratori di aziende pubbliche e private.

Il dato personale si riferisce a qualsiasi informazione riguardante una persona fisica già identificata o identificabile; a questo proposito si considera identificabile la persona fisica che può essere individuata, direttamente o indirettamente, con particolare riferimento ad una caratteristica come il nome, un numero di matricola, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Esempi di tali dati sono i dati anagrafici dei clienti, i contatti di un DB CRM, i cedolini paga, anagrafiche varie, bonus etc. Il regolamento si applica anche a una nuova tipologia di dati, ovvero quelli in provenienza dai sensori e/o dispositivi elettronici, che possono indicare la posizione di un veicolo, il comportamento del guidatore, filmati di videosorveglianza, etc.