Ogni Stato dell'Unione europea ha la sua Autorità di controllo, che è competente per la gestione dei reclami ad essa proposti o di eventuali violazioni del regolamento europeo e delle norme nazionali in materia di protezione dei dati, se l'oggetto riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro.

Il Data Protection Officer (DPO) oppure Responsabile per la Protezione dei Dati (RPD), è una figura introdotta col nuovo Regolamento europeo in materia di protezione di dati personali, ed è sostanzialmente l'evoluzione del "privacy officer", figura prevista dalla direttiva europea 95/46 laddove all'art. 18 consentiva agli Stati dell'Unione di prevedere semplificazioni o esenzioni nei casi di designazione di un soggetto indipendente che garantisca l'applicazione della normativa. 

L'interessato (data subject) del trattamento è la persona fisica a cui si riferiscono i dati personali, o più esattamente il proprietario dei suoi dati, 

Il responsabile del trattamento (nel nuovo regolamento europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento. Il titolare del trattamento, quindi, nomina uno o più responsabili. 

Il Titolare del trattamento (data controller) è colui che "da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali" (direttiva 95/46, art. 2 lett. d), e decide quali categorie di dati personali devono essere registrate (Convenzione 08, art. 2 lett. d).