Los principales cambios que introduce el Reglamento son los siguientes :
- Principio de responsabilidad proactiva. Las organizaciones deberán tener una actitud consciente, proactiva y diligente con respecto a todos los tratamientos de datos personales que lleven a cabo, lo que obligará al responsable del tratamiento a aplicar las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento se hace de acuerdo con lo que exige el Reglamento.
- El Consentimiento deberá ser una acción expresa y afirmativa por parte del afectado, en lugar de la aceptación tácita previamente existente.
- Más allá de los Derechos que reconocía la LOPD a los titulares de los datos (Acceso, Rectificación, Cancelación y Oposición), el nuevo Reglamento contempla también los de Acceso y Rectificación, pero se regulan también los derechos a la Portabilidad de los datos, la Limitación del Tratamiento y el Derecho al Olvido.
- Deberá confeccionarse un Registro de Actividades de tratamiento de datos para cada entidad, con un contenido más amplio que los archivos que se inscribían en la LOPD.
- Será obligatorio informar, en 72 horas como máximo, a la autoridad controladora de los fallos de seguridad en materia de datos personales, documentando el error, sus efectos y las medidas correctoras adoptadas.
- La figura del Delegado de Protección de Datos (DPD) asume una especial relevancia y será obligatoria para organismos públicos, y empresas que o bien tengan que tratar datos sensibles para sus actividades principales, o bien realicen una observación habitual y sistemática de personas a gran escala.
- Finalmente, no hay que olvidar que las nuevas sanciones podrán llegar hasta los 20 millones de euros o el 4% del volumen de negocio del año anterior.