A autoridade nacional de controlo (a definir por lei) controla e fiscaliza o cumprimento das disposições legais e regulamentares em matéria de proteção de dados pessoais, competindo-lhe em especial autorizar ou registar, consoante os casos, os tratamentos de dados pessoais e emitir pareceres sobre disposições legais ou legislação em preparação com impacto nesta matéria. Nesse sentido, cabe a esse organismo fiscalizar o cumprimento do RGPD (e da restante legislação relativa à proteção de dados pessoais), assim como corrigir e sancionar possíveis irregularidades e incumprimentos.
Penalizações em caso de não cumprimento
O desrespeito por algumas das regras constantes da lei pode acarretar responsabilidade civil, criminal ou contraordenacional, existindo ainda a possibilidade de aplicação, pela autoridade de controlo, de sanções acessórias, como a proibição, temporária ou definitiva, do tratamento de dados pessoais, ou a publicidade da sentença condenatória. A par de todas estas penalizações, o incumprimento da lei pode ainda ter um impacto negativo muito significativo para a empresa/organização: os custos de imagem e de reputação.
O regulamento europeu estipulou limites máximos para as coimas: 20 milhões de euros ou 4% do volume de negócios global para as empresas em incumprimento.