In termini generali, il GDPR prevede che i dati personali di un cittadino UE non possano più essere trasferiti, condivisi, vendibili, archiviabili, o utilizzati senza il consenso informato ed espresso del titolare dei dati. Il consenso può essere ritirato in ogni momento e ogni qualvolta i termini dell’accordo sottostante vengano emendati sarà necessario ricevere un nuovo consenso. Tra gli altri diritti, viene inoltre regolato il c.d. “diritto all’oblio”, ovverosia il diritto di vedere i propri dati cancellati da qualunque sistema di archiviazione. Ai sensi del GDPR, una società che abbia i mezzi e le finalità di raccogliere e archiviare dati personali di residenti UE è per definizione un c.d. data controller con contestuale responsabilità a gestire tali dati in totale sicurezza. Se poi i dati vendono inoltrati a una terza parte per il suo processamento, tale parte sarà generalmente considerata un c.d. data processor e il data controller avrà la