Il General Data Protection Regulation (GDPR) o Regolamento generale per la protezione dei dati personali n. 2016/679 è la principale normativa di diritto dell’UE in materia di protezione dei dati personali. Questo regolamento rappresenta un significativo passo in avanti nella tutela della protezione dei dati dei diritti degli individui all'interno dell'Unione europea, diritto fondamentale altresì sancito all'articolo 8 della Carta dei diritti fondamentali dell'Unione europea.

Il GDPR è stato adottato il 27 aprile 2016 e pubblicato nella Gazzetta ufficiale dell'Unione europea il 4 maggio 2016. È entrato in vigore il 24 maggio 2016, con l'obbligo di attuazione da parte degli Stati membri a partire dal 25 maggio 2018. Il regolamento è composto da 99 articoli, che stabiliscono diritti e obblighi in materia di protezione dei dati personali, e da 173 considerando, che forniscono il contesto e le motivazioni alla base delle disposizioni normative, pur avendo solo un valore interpretativo.

Essendo un regolamento, il GDPR è direttamente applicabile in tutti gli Stati membri dell'Unione europea senza necessità di recepimento tramite legislazioni nazionali. Ciò garantisce una uniformità della tutela dei dati personali in tutta l'Unione europea e l’eliminazione delle discrepanze che esistevano precedentemente tra le varie legislazioni nazionali. Ciononostante, il regolamento prevede alcune aree in cui sono lasciati margini di discrezionalità agli Stati membri che consentono deroghe e adattamenti specifici alle proprie normative nazionali.

Il GDPR introduce importanti principi e requisiti per la protezione dei dati personali, tra cui la liceità, la correttezza e la trasparenza del trattamento dei dati, la limitazione delle finalità, la minimizzazione dei dati, l'accuratezza, la limitazione della conservazione e l'integrità e riservatezza dei dati. Inoltre, il regolamento stabilisce nuovi diritti per i soggetti interessati, come il diritto all'oblio, il diritto alla portabilità dei dati e il diritto di opporsi al trattamento dei propri dati personali.

L'obiettivo principale del GDPR è rafforzare e armonizzare la protezione dei dati personali per tutti gli individui all'interno dell'Unione europea. Il GDPR mira a garantire che i dati personali siano trattati in modo lecito, equo e trasparente, proteggendo così i diritti e le libertà individuali. Inoltre, esso impone rigorosi obblighi a chi intende trattare i dati personali, come ad esempio la predisposizione di misure di sicurezza, la notifica delle violazioni dei dati, la valutazione d'impatto sulla protezione dei dati e la nomina di un responsabile della protezione dei dati (DPO) in determinate circostanze.
Le sanzioni per la non conformità possono essere severe, includendo multe fino a 20 milioni di euro o il 4% del fatturato globale annuo dell'organizzazione, a seconda di quale sia l'importo maggiore.