Die DSGVO ist zwar europäische Verordnung und gilt in allen Mitgliedsstaaten gleichermaßen. Allerdings bestehen daneben noch nationale, flankierende Gesetzesvorschriften, die stets zu beachten sind, wenn Sie in dem Mitgliedsstaat – auch online – tätig sind. Beispielsweise bestehen in Italien andere Schwellenwerte zur Benennung eines Datenschutzbeauftragten. Pflichtenumfang und Adressatenkreis richten sich im Wesentlichen nach der unternehmerischen Tätigkeit und natürlich nach den abgefragten Daten und Speicherfristen. Die sog. Cookie Policy, beruhend auf der Richtlinie 2009/136/CE vom 25.11.2009, ist bereits seit dem 8. Mai 2014 (Gesetzesblatt n. 126 vom 3.06.2014) nationales Recht.
Unternehmen und Einrichtungen müssen nach dem Grundsatz der Rechenschaftspflicht handeln, den Datenschutz nicht als formale Verpflichtung, sondern als integralen und dauerhaften Bestandteil ihrer Tätigkeiten betrachten und das Bewusstsein der Nutzer für ihre Rechte und Freiheiten fördern. Unternehmen und Institutionen müssen die Grundsätze des "Privacy by Design" und des "Privacy by Default" respektieren, d.h. sie müssen Garantien zugunsten der Nutzer bei der Gestaltung jeder Verarbeitung und jedes Produkts oder jeder Dienstleistung, die die Verarbeitung personenbezogener Daten beinhaltet, einbeziehen. Die Einwilligung in die Verwendung der Daten muss für jede erbrachte Leistung noch spezifischer sein. Diejenigen, die Daten verarbeiten, sind verpflichtet, die Garantiegeberbehörden und in den schwerwiegendsten Fällen die betroffenen Parteien bei Diebstahl, unrechtmäßiger Weitergabe oder Verlust von Daten zu informieren ("Datenschutzverletzung").