El capítol VIII de l'RGPD, sota el títol «Recursos, responsabilitat i sancions», regula el règim sancionador aplicable, que ha de ser completat amb el que sobre això reguli la futura Llei orgànica de protecció de dades, ja que l'RGPD no ho regula detalladament. Així, per exemple, l'RGPD no té en compte les qüestions referents a la prescripció d'infraccions, tan característica en el règim sancionador espanyol de qualsevol matèria, ni tampoc fa una classificació de les infraccions en lleus, greus i molt greus.
Aquesta circumstància és deguda al fet que aquest sistema de sancions o actuacions correctives és summament genèric, i no tipifica les conductes ni estableix les reaccions concretes davant la seva comissió. Aquesta carència ha estat resolta mitjançant el Reial decret llei 5/2018, de 27 de juliol, de mesures urgents per a l'adaptació del dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades (RGPD).
L'article 3 considera com a subjectes sotmesos al règim sancionador de l'RGPD i de la Llei orgànica esmentada els següents:
a) Els responsables dels tractaments.
b) Els encarregats dels tractaments.
c) Els representants dels responsables o els encarregats dels tractaments no establerts en el territori de la Unió Europea.
d) Les entitats de certificació.
e) Les entitats acreditades de supervisió dels codis de conducta.
No és aplicable al delegat de protecció de dades el règim sancionador en aquesta matèria.