Основной принцип Закона о защите данных (1984 г.), в который в 1998 году были внесены изменения и дополнения, чтобы привести его в соответствие с более строгим европейским законодательством, заключается в том, что дан­ные о клиенте могут использоваться лишь для тех целей, которые были указа / ны при их получении. Например, если розничная компания собирает данные, чтобы использовать их для выдачи клиентам вознаграждений, она не может продать или передать эти данные телефонной компании или государственной организации без разрешения клиента, независимо оттого, насколько хороши были предложения третьих сторон или какие социальные блага они собирают­ся предоставить. За пределами ЕС и в особенности Соединенных Штатов, зако­нодательство в отношении защиты данных намного либеральнее и основано в большей степени на саморегулировании.

Согласно Закону о защите данных 1984 года, компании обратились к сек­ретарю по защите данных, заявили о своих намерениях и желании соблюдать закон. Согласно Закону о защите данных 1998 года требования значительно ужесточились: компании попадают под юрисдикцию закона независимо от того, известно им о нарушении закона или нет, за нарушения были предусмот­рены значительные штрафы. Одно из самых удивительных последствий Закона было в том, что ког­да британский министр сельского хозяйства, рыбного хозяйства и пищевой промышленности заявил в январе 1999 года о желании супермаркетов тесно сотрудничать с министерством, чтобы отслеживать покупки генетически мо­дифицированных продуктов, все крупные супермаркеты опровергли это заяв­ление, потому что даже если они и хотели бы поделиться с правительством базой данных, сформированной благодаря картам лояльности, то нарушили бы таким образом закон.