O novo quadro legal de proteção de dados pessoais começou a ser aplicado há três anos na União. A partir de 25 de maio de 2018 todos os Estados-Membros passaram a ter a mesma lei.
Em 2018 começou a ser aplicado o Regulamento (UE) 2016/679 – Regulamento Geral sobre a Proteção de Dados (RGPD) em todos os Estados-Membros da União e na Islândia, Liechtenstein e na Noruega, tornando-se assim aplicável em todo o Espaço Económico Europeu (EEE). A proposta de Regulamento foi apresentada pela Comissão Europeia, em 2012, juntamente com a proposta de diretiva para regular os tratamentos de dados pessoais efetuados pelas autoridades competentes para a prevenção, investigação e repressão de infrações penais. Ambos os instrumentos foram aprovados e entraram em vigor em 2016, havendo no caso do RGPD um período transitório de dois anos até à sua aplicação.
Com o RGPD, foi criado o Comité Europeu para a Proteção de Dados, um órgão da UE, composto por todas as autoridades nacionais de proteção de dados e pela autoridade europeia (AEPD), no qual tem assento igualmente a Comissão Europeia sem direito de voto. O RGPD veio introduzir um mecanismo de cooperação e um mecanismo de coerência para garantir a sua aplicação consistente em todos os países. Neste contexto, o Comité Europeu acabou de emitir o seu primeiro parecer com vista à aprovação de um código de conduta europeu submetido pelos fornecedores de serviços de infraestruturas de computação em nuvem (CISPE).