El Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos) es de aplicación obligatoria para todas las empresas españolas desde del 25 de mayo de 2.018, a pesar de que entrara en vigor el día 24, también de mayo pero de 2.016; siendo de aplicación directa para los Estados Miembros, derogando en lo que se oponga a ella laLOPD 15/1999 de 13 de diciembre que desarrollaba la Directiva 95/46/CE.

Por lo tanto todas las Empresas, y Organizaciones, ya sean Autonómos, Pymes o Grandes Empresas, Sociedades o Asociaciones de cualquier tipo, públicas o privadas, están obligadas a cumplir esta normativa, y a analizar que datos de carácter personal tratan, evaluación que determinará la necesariedad o no de una «Evaluacion de Impacto» y que medidas han de adoptar en su caso, que serán distintas en un caso u en otro,  aunque serán los datos tratados los que en la mayoría de las veces determinarán cuales  que se va a hacer imprescindible desde el mismo momento que manejemos datos personales, de clientes, proveedores, potenciales clientes, empleados, asociados, etc.