Il regolamento si applica ai dati dei residenti nella Repubblica di San Marino e nell'Unione Europea. La Legge 171/2018 e il GDPR si applicano anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Secondo la normativa "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer." Viene disciplinato solo il trattamento di dati personali delle persone fisiche.