Houve, ao longo do tempo, um amadurecimento das leis de proteção de dados até que surgissem as que conhecemos atualmente, autônomas e atreladas a direito fundamental. Victor Mayer-Schonverger menciona 4 diferentes gerações de leis de proteção de dados.
Na 1ª Geração, as leis eram voltadas ao Estado, em um momento inicial da tecnologia de informação atual. Essa geração trata o dado informatizado como fim em si mesmo. Criou um sistema de controle e autorização de dados pessoais, na década de 1970.
A 2ª Geração, que se iniciou em 1978, é marcada pela diáspora dos bancos de dados. Tal geração não mais fixava suas atenções em dados informatizados, mas nos próprios direitos dos cidadãos, como a privacidade e a proteção de dados pessoais. Permitia a tutela do cidadão sobre seus dados.
A 3ª Geração (1980) trouxe um aprimoramento das leis anteriores, impondo efetividade na liberdade de fornecer, ou não, os dados pessoais. Aqui, surgiu o conceito de autodeterminação informativa que, em seus primórdios, era cara e restrita.
Finalmente, a 4ª Geração, dos dias de hoje, tem a compreensão de que não cabe somente ao individuo tutelar seus dados, mas também ao Estado. A maior referência desta geração é o Regulamento Geral sobre a Proteção de Dados (GDPR – Europa), no qual foi baseada a Lei Geral de Proteção de Dados (LGPD) do Brasil.
A Convenção de Strasbourg e as convenções da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) trazem 5 grandes princípios da proteção de dados pessoais:
Mas esse rol não é taxativo. Existem outros princípios, como a publicidade, a liberdade, a igualdade, a garantia contra a discriminação, a liberdade de expressão.