A 2016 óta érvényben lévő GDPR tényleges alkalmazását kétéves felkészülési időszak előzte meg, és elvileg 2018. május 25-től vált kötelezővé az alkalmazása. A folyamat nemcsak Romániában, hanem más európai országokban is nyögvenyelős volt, a személyi adatvédelem fontosságának tudatosítása terén valójában EU-szerte csak a fenti határidő után kapcsoltak nagyobb sebességre. Az elmúlt egy év során a romániai adatvédelmi hatóság körülbelül ezer ügyet vizsgált ki, ezek közül 496 az érintett személyek panasza nyomán indult. Pénzbírságot azonban ez idáig nem szabtak ki, mindössze 57 esetben rendeltek el korrigáló intézkedéseket, 23 alkalommal pedig figyelmeztetéshez folyamodtak.

A türelmi időszakban gombamód szaporodtak el a gazdasági vagy nonprofit szervezetek adatvédelmi rendszerének EU-konformmá tételét felajánló cégek, amelyek szolgáltatásaik bemutatása során soha nem mulasztották el felhívni a figyelmet a várható bírságok csillagászati léptékéről. A fokozatosan a pánikhoz közelítő hangulat következtében egyes források szerint az érintettek több mint hetven százaléka folyamodott szakértő cég szolgáltatásaihoz vagy küldte alkalmazottait képzésre.

A kockázatoknak leginkább kitett vállalatok a bankok, a pénzintézetek, az egészségügyi intézetek, a büntetőeljárásokért és a büntetésalkalmazásért felelős hatóságok. Ezek az intézmények kezelik ugyanis a legérzékenyebb személyes adatokat, különösen fontos hát, hogy betartsák az adatbiztonságra vonatkozó előírásokat, a törvény betűjének való megfelelésen túl ténylegesen garantálni tudják a polgárok személyi adatainak védelmét. Érintettek még azok a pártok, civil szervezetek, intézetek is, amelyek etnikai, politikai, vallási, egyéb hovatartozásra vonatkozó adatokat kezelnek.