Una primera novetat important de l'RGPD té a veure amb la seva naturalesa jurídica.
Els reglaments són normes que tenen efecte directe i s'apliquen directament en els estats membres sense necessitat que adoptin cap norma d'introducció en el dret intern. Les directives, en canvi, necessiten normes nacionals de transposició.
La Comissió va triar aquest instrument perquè un dels problemes que pretenia resoldre la revisió del marc legal europeu era la dispersió normativa derivada de les transposicions que en duien a terme els estats membres.
Les directives són normes que fixen les finalitats i deixen un ampli marge de llibertat als estats membres per triar els mitjans per aconseguir-les. En el cas de la Directiva 95/46, els estats n'han interpretat els objectius de maneres molt diferents, cosa que ha donat lloc a solucions diferents que, en darrer extrem, suposen nivells de protecció igualment heterogenis. La Comissió va optar per afrontar aquesta situació proposant com a nova norma un reglament, un acte jurídic europeu que intenta aconseguir un dret únic per a tota la Unió, perquè substitueix les lleis nacionals existents i no necessita transposició mitjançant noves normes.
No obstant això, a causa del caràcter aplicable directament dels reglaments, comença a ser habitual que els texts finals deixin marges de desenvolupament o aplicació a l'àmbit nacional raonablement amplis. Aquest fenomen també s'ha donat en l'RGPD. Els estats membres poden actuar normativament en relació amb una llista extensa de matèries, valent-se de diferents tipus d'habilitació que l'RGPD els ofereix. S'ha arribat a dir que es tracta d'una norma amb cos de reglament i ànima de directiva.
Hi ha disposicions en què la regulació estatal és pràcticament una condició indispensable perquè es pugui aplicar l'RGPD.
És el cas, entre d'altres, d'algunes de les excepcions que permeten tractar les dades sensibles. L'RGPD preveu que aquestes dades es puguin tractar per a determinades finalitats (per exemple, amb finalitats d'assistència sanitària o de recerca científica) en els termes que estableixi la legislació nacional.
Una tercera possibilitat és que els estats membres utilitzin les autoritzacions per regular determinades matèries en el pla nacional que ofereix l'RGPD.
L'exemple més destacat pot ser el de l'edat mínima a partir de la qual els menors poden atorgar consentiment perquè les seves dades siguin tractades sense necessitar l'autorització dels seus pares o tutors. L'RGPD fixa aquesta edat en 16 anys. Tanmateix, permet que els estats membres la redueixin fins a un límit mínim de 13. Els estats es poden acollir a aquesta habilitació o no, però és cert que el Reglament, en aquest punt, obre una porta a la diferenciació en l'àmbit nacional. A Espanya l'article 7 de la LOPDGDD l'ha fixat en 14 anys.
En resum, encara que l'RGPD conté nombroses disposicions que sí que produiran efectes i, com a tals, seran aplicables directament pels operadors jurídics en els estats membres, també n'inclou d'altres en què la seva regulació es veurà precisada o complementada per normativa nacional.
A Espanya, la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), ha fet aquests desplegaments normatius. Altres s'inclouran en normes sectorials, com la Llei 9/2017, de 8 de novembre, de contractes del sector públic, per la qual es transposen a l'ordenament jurídic espanyol les directives del Parlament Europeu i del Consell 2014/23/UE i 2014/24/UE, de 26 de febrer de 2014, en relació amb la figura de l'encarregat del tractament o el tractament de dades d'identificació electrònica dels administrats en la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques.