Evropský parlament vždy bral právo na ochranu soukromí vážně. Je to jedna z věcí, která jasně dělí EU a USA – zatímco v Evropě je chráněno obecnými zákony a směrnicemi a příliš na tom nemění žádná konkrétní forma komerčního vztahu mezi vlastníkem dat a jejich zpracujícím, ve Spojených státech jistota soukromí de facto končí s hranicemi vlastního domova a dále jsou chráněny jen konkrétní případy konkrétními zákony (respektive jich spletí, která se průběžně rozrůstá).
Samozřejmě v řadě případů (například při koupi letenek a cestování mezi kontinenty) je nezbytné informace sdílet a dochází ke konfliktům mezi různými pohledy na soukromí. Řeší to různé směrnice a regulace, jako je například Safe Harbor. Ovšem jak prozradil Edward Snowden, všechny podobné dohody byly v průběhu let zcela pošlapány. Evropskému parlamentu došla trpělivost a ve středu odhlasoval zákon s definovanou penalizací, která bude platit nejen pro firmy evropské, ale pro každého, kdo podniká v Evropské unii.
Zákon postihuje i transport dat mimo EU bez explicitního povolení nebo používání dat v rozporu s prohlášeními na korporátních webech. Úniky dat musí být hlášeny co nejrychleji, nejlépe do 24 hodin od jejich zjištění, a v případě, že se tak nestane, bude třeba odesílat zdůvodnění příslušným úřadům. Společnosti se budou muset přizpůsobit ve čtyřech klíčových oblastech.
Nejkonkrétnějším novinkou je vytvoření místa Data Protection Office, které je povinné pro všechny firmy s více než 250 pracovníky. Funkce DPO půjde nad rámec přehlížení problematiky, bude zřejmě muset ovlivňovat strategii během vývoje produktů. Doporučuje se vytvořit komisi a pracovní skupiny, které bude dohlížet na každou fázi vzniků produktů a služeb.
Podstatné je, že společnosti se nebudou muset přizpůsobovat jednotlivým národním regulátorům, i když ten místní bude jejich primárním kontaktem. Změny nepochybně zkomplikují nasazování technologií, jako jsou sociální sítě, či obecně cloudy, jejichž provozovatel bude muset získat povolení EU před tím, než uvolní osobní data občanů EU do jiné země. Řada pozorovatelů ze soukromého sektoru samozřejmě varuje před dopadem na kompetitivnost Evropy a na nezbytnost vyjasnění rozporů a nekonzistencemi zákonných úprav jako je Data Protection Regulation a ePrivacy Directive.
V každém případě především americké firmy vyjadřují své zděšení nad možnými pokutami, které mohou dosáhnout výše 100 milionů euro nebo 5 procent globálního ročního obratu, podle toho, co je větší.