Es obligatorio en todos los organismos públicos y para las entidades que tratan datos a gran escala o tratan datos a gran escala especialmente sensibles, como las de seguros y banca, telecomunicaciones, las de servicios de sociedad de la información o las que hacen publicidad a gran escala. Los ayuntamientos pequeños y las pymes pequeñas pueden compartir uno entre varios.
