El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD) y comenzó a aplicarse el 25 de mayo de 2018. Este periodo de dos años tuvo como objetivo permitir que los Estados miembro de la Unión Europea, las instituciones y también las empresas y organizaciones que tratan datos personales fueran preparándose y adaptándose para el momento en que el Reglamento fuera aplicable.
El cambio de paradigma que ha establecido la Unión Europea con el Reglamento General de Protección de Datos implica que las organizaciones entiendan el cumplimiento del RGPD como un proceso basado en la gestión de riesgos. Esta gestión es dinámica y cambiante en el tiempo, en función de nuevas amenazas y vulnerabilidades en los sistemas de información, de nuevos cambios en los reglamentos y normativas, del contexto de la organización, … Por tanto, conlleva a una revisión continua de los tratamientos y sus riesgos asociados.
Por otro lado, el RGPD modifica otros aspectos del régimen de la anterior LOPD y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias. Entre esas obligaciones se encuentra la designación del DPD, que puede ser opcional u obligatorio dependiendo de criterios establecidos en la LOPDGDD. Además, este, pudiendo ser interno o externo a la organización, debe ser nombrado atendiendo a sus cualificaciones profesionales en las casuísticas descritas en el artículo 37 del RGPD.