Se você quiser saber o que o GDPR realmente diz, o melhor lugar para ir é a fonte - https://gdpr.eu/
Existem também muitos sites que oferecem um resumo geral do significado da lei. Eles podem ser encontrados usando um motor de busca padrão.
Minha interpretação do status de aconselhamento jurídico de qualquer pessoa aleatória (no Discourse ou em outro lugar) é ‘caveat emptor’ (deixe o comprador ter cuidado). Se você estiver executando um sistema que contém informações pessoais sensíveis da UE, somente você (ou sua empresa) é responsável por cumprir a lei. Se você receber maus conselhos e segui-los, será sua responsabilidade se provar que estão errados. Como exemplo, imagine ser parado pela polícia por dirigir a 160 km/h em um limite de 50 km/h. Qual você acha que será a resposta deles se você disser ‘a pessoa aleatória X me disse que eu poderia dirigir tão rápido nesta estrada’. É sua responsabilidade ter certeza de que qualquer conselho que você receber está correto. Se você tiver um contrato com a pessoa aleatória X onde ela deveria lhe dar aconselhamento jurídico sobre o GDPR, mesmo isso não é uma defesa. Você ainda teria que ter pelo menos verificado se a pessoa era qualificada para fornecer esse aconselhamento.
Antes de me aposentar, fui Gerente de Cibersegurança. Passei muitas horas longas com nosso consultor jurídico interno e coordenador do GDPR discutindo as complexidades da lei. Isso me ensinou o suficiente para saber que ela não pode ser resumida em poucas palavras, nem pode ser realmente considerada adequadamente por um estranho que não conhece seu sistema ou os dados exatos que estão incluídos nele ou quem pode acessar os dados e por quais razões.