Devono adeguarsi tutti coloro che trattano dati personali: aziende, professionisti, cooperative, associazioni, P.A., scuole, comuni, ospedali, enti pubblici ecc. (ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, associati ecc.), inventariando i dati personali, adottando le misure di sicurezza obbligatorie (fisiche, logiche ed organizzative), adeguandosi agli obblighi di informativa, consenso, notifica, nominando figure (responsabile, incaricati, custode delle credenziali ecc.).

Chi non si adegua corre il rischio di sanzioni gravi, anche di natura penale, infatti lo stesso codice all’art. 169 prevede che chiunque, essendovi tenuto, omette di adottare le misure minime previste è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.