Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. 
Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto protezione dati", l'insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE.
Il regolamento è entrato in vigore il 24 maggio 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018 : le imprese e le pubbliche amministrazioni hanno pertanto due anni (un periodo di tempo congruo ma non troppo ampio) per organizzarsi e adeguarsi alle nuove regole. Il che non significa che automaticamente verrà abrogato il nostro D.lgs 196/2003, quindi almeno per un po’ di tempo le due norme convivranno.
E’ opportuno quindi mantenere attivo il DPS e verificare almeno una volta l'anno che i requisiti richiesti dalla normativa ( lettere di incarico ai responsabili dei trattamenti, archiviazione dei documenti contenenti dati sensibili, salvataggi costanti e protetti,rotazione delle password …) siano rispettati redigendo un rapporto dettagliato a disposizione degli organi di controllo.
Essenzialmente il GDPR univoca il mondo della Privacy (trattamento e protezione dei dati personali) con quello della Sicurezza Informatica (ICT-SEC).