A escala europea, las leyes suelen prolongarse en el tiempo, incluso después de entrar en vigor oficialmente. Así, una vez acordada una directiva europea tras largos debates en el Parlamento de Bruselas, los 28 Estados miembros conceden amplios períodos transitorios para que las jurisprudencias nacionales asuman la ley. También puede pasar mucho tiempo hasta que finalmente se presiona a las empresas para que apliquen la nueva normativa.
Pero, además de directivas, hay un segundo tipo de normativa europea: los reglamentos. Estos no ofrecen libertades temporales ni tampoco de contenido, sino que son jurídicamente vinculantes y aplicables de inmediato para todos los Estados (afectando así, también, a la práctica empresarial de toda pyme). Este es el caso del RGPD, que no es una directriz, sino un reglamento.
En mayo de 2016 entró en vigor el Reglamento europeo de protección de datos con un período transitorio de dos años y el 25 de mayo de 2018 pasó a aplicarse en todos los Estados miembros como ley de protección de datos oficial y, por lo tanto, superior a la normativa nacional. Esto significa que ya no se concedía ningún otro período transitorio. Así, todas las empresas y autoridades públicas que trabajan con datos personales deben aplicar desde entonces las nuevas disposiciones de la Unión Europea sobre protección de datos y tomar las medidas necesarias en sus operaciones.
Sin embargo, no parece que el nivel de concienciación fuera homogéneo entre las empresas, tanto a nivel europeo como internacional. En septiembre de 2018, cuatro meses después de la definitiva entrada en vigor del Reglamento, un estudio de la empresa líder en integración de datos en la nube Talend reveló que el 70 % de las empresas aún no estaban cumpliendo con lo que marca la orden europea, en concreto, con las solicitudes de acceso y portabilidad de datos dentro del plazo marcado por el RGPD. El estudio tomó como objeto a 103 empresas de todo el mundo y dejó ver, sorprendentemente, que las que más se esforzaban en cumplir con el Reglamento procedían de fuera del área comunitaria (con un 50 % frente a un 35 % europeo).
Otro dato relevante es el aumento de las reclamaciones relativas a la protección de sus datos personales que tramitaron los consumidores en los meses siguientes a su implantación. Francia e Italia registraron un aumento de denuncias del 53 %, y la AEPD, de un 33%.
No obstante, con el paso del tiempo se ha constatado que el RGPD está siendo acogido por las partes implicadas, como afirma el comunicado de prensa emitido por la Comisión Europea en julio de 2019.
Sobra decir que la mayor parte de los obstáculos no se debían a la ignorancia, sino más bien a la inseguridad jurídica y a una falta de claridad al respecto de los cambios necesarios para aplicar correctamente el Reglamento. Otro factor que confluyó en el clima de nerviosismo tuvo que ver con las sanciones programadas en la Orden, que pueden ascender a hasta los 20 millones de euros o hasta el 4 % del volumen de ventas mundial del ejercicio fiscal anterior si no se cumple la normativa europea. A finales de 2018 ya tuvieron lugar, incluso, las primeras sanciones.