Qualquer entidade que recolha, registe, utilize, divulgue ou de outra forma trate dados pessoais deverá garantir a segurança destes dados.
Entende-se por dados pessoais qualquer informação que possa identificar uma pessoa singular, nomeadamente o nome, número de identificação, dados de localização, qualquer elemento físico, como a imagem, ou qualquer outra que permita tornar identificável de uma pessoa singular.
A grande mudança que o regulamento trouxe foi o facto de terem de ser as próprias entidades capazes de demonstrar que cumprem as exigências legais.