Le principali novità del cd. “pacchetto protezione dati” riguardano l'obbligo di nominare un Data Protection Officer (DPO), ossia un responsabile della protezione dati, all’interno di Enti oltre un certo numero di dipendenti. Il DPO dovrà essere selezionato tra professionisti competenti in tema di protezione dati. L'obbligo di proteggere i dati fin dalla progettazione (Privacy by Design) e per impostazione predefinita (Privacy by Default). L'obbligo, infine, per gli Enti di notificare, entro un certo termine, le violazioni personali (cd. data breach) all’Autorità competente. Previsto inoltre il riconoscimento del diritto alla cancellazione o oblio, ossia la cancellazione dei dati senza ritardo se questi non risultano essere più necessari ed il riconoscimento del diritto alla portabilità dei dati, ossia il diritto a ricevere dati forniti a un titolare al fine di trasmetterli ad un altro titolare.