Según informa la Agencia Española de Protección de Datos,  con esta medida se reduce el plazo que actualmente es de 13 a 18 meses y que es considerado innecesario para el uso del servicio o la prevención del fraude. Pasados los seis meses reglamentarios las empresas deberán destruir esos datos o conseguir que sean anónimos de forma irreversible. Además cada país podrá restringir aún más este periodo.  

De forma excepcional se podrán retener datos por más tiempo sólo si se puede demostrar que son estrictamente necesarios para facilitar el servicio.  

Por otra parte se establece que los datos se deberán recoger de manera proporcionada y no excesiva, y que si se emplean cookies se deberá informar de forma clara sobre su finalidad y la manera de acceder a ellas y eliminarlas. Asimismo reconoce el derecho de los usuarios a acceder, inspeccionar y corregir, todos sus datos personales y los Estados podrán recoger también el derecho de oposición.