Bajo la GDPR, las empresas que presten servicios en la región deberán notificar a las autoridades ante filtraciones de datos personales de sus clientes en no más de 72 horas; si la seriedad del ataque lo merece, incluso tendrán que informar a los usuarios afectados; y las sanciones por incumplimiento pueden llegar al 4% de los ingresos anuales globales, o los €20 millones.