Según Gregory Voss, «se ha propuesto este nuevor eglamento para dar respuesta a los numerosos desarrollos tecnológicos como BigData, almacenamiento biométrico y otras tecnologías cuya antigua directiva de 1995 no contemplaban ».
Una normativa que no estaba adaptada a las nuevas tecnologías y que además, según Voss «presentaba disparidades entre los estados miembros que han transpuesto la Directiva con muchas diferencias; la armonización de la regulación es, por lo tanto, un objetivo de la reforma».
Regulación que busca la responsabilidad de las empresas
La filosofía de la nueva normativa para la protección de datos personales se centra firmemente en la responsabilidad de las empresas. Esto dará lugar, por un lado, a la obligación de las empresas de demostrar en todo momento que cumplen con la legislación. Esta obligación dará lugar a un cambio en la gobernanza de las empresas que deberán contratar perfiles adecuados. Estos "representantes de protección de datos personales" tendrán la tarea de analizar el procesamiento de datos personales de la empresa y garantizar el cumplimiento de las normas. Se estima una demanda de 75.000 puestos de trabajo en este sector.
Stanley Claisse explica que «para las pymes esta nueva normativa supone un gran reto de adaptación mientras que las grandes empresas ya han tomado medidas y muchas de ellas ya cuentan con un delegado de protección de datos (DPO) ».
Añade que «mientras que las grandes empresas ya se han preparado para estos cambios normativos, las pymes tardarán más tiempo en adaptarse. Esperar que cumplirán con esta nueva normativa en los primeros seis meses es algo difícil de pensar. Será un trabajo de largo recorrido y requerirá regularidad para verificar la conformidad de los datos»
El objetivo de la responsabilidad de las empresas se expresa, por otro lado, a través de la exigencia de todas las compañías y, no sólo de los proveedores de acceso a internet de informar a sus clientes de posibles casos de piratería en su bases de datos. En caso de no cumplir con estas obligaciones, las empresas se exponen a graves sanciones financieras que pueden alcanzar el 4% de la facturación anual para alguna de las violaciones.
Si bien el objetivo de esta nueva regulación es, ante todo, minimizar el riesgo de violaciones de datos personales y daños posteriores, su efecto será beneficioso para el nivel de seguridad corporativa. Para proteger los datos personales, las empresas implementarán herramientas de seguridad informática, cifrado, control de accesos. Estas obligaciones reforzadas deberían contribuir a la mejora general del nivel de seguridad de los sistemas de información y tener un efecto preventivo sobre el delito cibernético.