Il Regolamento Europeo UE 679/2016, "General Data Protection Regulation" (GDPR), diventato applicabile in tutta l'Unione Europea il 25 maggio 2018, protegge i diritti e le libertà fondamentali della persona fisica-individuo, in particolare il diritto alla protezione dei dati di carattere personale, ma non disciplina in alcun modo – tranne poche eccezioni, come il telemarketing - il trattamento dei dati che riguardano persone giuridiche, enti o associazioni. Come definito dall'art. 4, il dato personale è "qualunque informazione relativa a persona fisica, identificata o identificabile", mentre, nei Considerando si afferma chiaramente che il Regolamento "non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto". L'obiettivo sicuramente raggiunto di ridurre gli oneri e snellire le procedure per le imprese in materia di privacy, tuttavia, ha un'altra faccia della medaglia: i dati delle persone giuridiche possono, ora, essere trattati senza che i soggetti interessati possano tutelarsi in alcun modo e senza più la possibilità di ottenere l'accesso ai propri dati personali, l'indicazione sull'origine, le finalità e modalità del trattamento, gli estremi identificativi del titolare del trattamento, la rettifica, l'aggiornamento o la cancellazione. Le ricadute di tutto questo per le imprese potrebbe essere non banali, se si pensa, ad esempio, ai sistemi di informazioni creditizie che forniscono dati sull'affidabilità dei clienti che richiedono prestiti o finanziamenti e che possono contenere anche casi di inadempimenti. Nessuna persona giuridica avrà più il diritto di conoscere le modalità del trattamento dei dati, i tempi di conservazione, né se è avvenuta una registrazione in altre banche dati e nemmeno di sapere se, in caso di rigetto, la richiesta di credito non è stata accolta a causa di informazioni negative presenti nelle banche dati.