Si se considera la acción reguladora (es decir, las multas) como un punto de referencia del impacto del PIBR, entonces parece que la nueva regulación ha tenido poco efecto. El bufete de abogados DLA Piper informó de que sólo se habían emitido 91 multas en los primeros ocho meses de la GDPR. De las multas que se han hecho públicas, la más llamativa es la multa de casi 56 millones de dólares impuesta a Google por los reguladores franceses debido a la forma en que Google utilizó los datos personales para la publicidad.
Pero eso no ha sido la norma. En los primeros nueve meses de GDPR, las autoridades supervisoras de los 28 países de la UE recibieron 94.000 quejas y reportes de 64.000 violaciones de datos, pero, de nuevo, sólo 91 resultaron en multas. Los que fueron multados, sin embargo, mostraron un comportamiento alarmante por incluso mediocres estándares de seguridad.
Por ejemplo, una red social en Alemania fue multada con 22.000 dólares por haber sido hackeada y haber almacenado contraseñas sin utilizar la encriptación. Y un hospital portugués recibió una multa de 447.000 dólares por no gestionar adecuadamente el acceso a los registros clínicos; se descubrió que el hospital proporcionaba acceso a los datos a 985 cuentas de médicos, a pesar de que el hospital sólo empleaba a 296 médicos.
Las multas, sin embargo, no se limitan a los fallos de seguridad. Una empresa polaca que «raspó» datos de fuentes públicas recibió una multa de 250.000 dólares por no respetar el derecho de las personas a ser informadas sobre el procesamiento de sus datos.