El 25 de enero de 2012, la Comisaria europea de Justicia, Viviane Reding, presenta la propuesta oficial de un nuevo reglamento que sustituya la fragmentada Directiva de 1995 sobre protección de datos, con el objetivo declarado de crear una única ley válida en toda la UE. El eurodiputado alemán Jan Philipp Albrecht, ponente (rapporteur) de la comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) del Parlamento Europeo, redacta el informe parlamentario y lidera durante años las negociaciones del procedimiento de trílogo entre Parlamento, Consejo y Comisión, hasta alcanzar un acuerdo político en diciembre de 2015 — por su papel central, varias fuentes lo describen como "padre del RGPD". El Reglamento (UE) 2016/679 es aprobado formalmente el 27 de abril de 2016 y entra en vigor el 25 de mayo de 2018. Por primera vez, el derecho deja de legislar exclusivamente sobre fronteras físicas y bienes materiales para regular directamente los datos personales como objeto jurídico propio: introduce derechos inéditos como el derecho al olvido y la portabilidad de datos, y extiende su aplicación más allá de las fronteras de la UE a cualquier organización que procese datos de residentes europeos, sin importar dónde esté establecida. El RGPD incorpora además el principio de "privacidad desde el diseño" (Artículo 25), formulado originalmente en 1995 por Ann Cavoukian, Comisionada de Información y Privacidad de Ontario (Canadá), junto con la autoridad holandesa de protección de datos.