Nell'Unione europea disponi del GDPR (Regolamento generale sulla protezione dei dati ) che verrà applicato il 25 maggio 2018 per tutti gli stati membri (incluso il Regno Unito).
Finora c'è stato un quadro generale che ogni stato membro implementerebbe localmente ma che ha portato a interpretazioni diverse. Questo regolamento stabilirà gli stessi termini per tutti (e molto benvenuto).
GDPR non è volontario, è obbligatorio per qualsiasi azienda e istituzione che opera nell'UE. Non esiste un'agenzia ufficiale che certifichi che un'azienda è conforme al GDPR (penso che ciò sia addirittura irrealizzabile in quanto ciò limiterebbe il modo in cui un'azienda opera perché una revisione contabile sarebbe necessaria per qualsiasi minimo cambiamento nel business). Ma ci sono molte aziende che offrono i loro servizi per diventare conformi a GDPR. Se un'impresa vuole pubblicizzare tale conformità ai propri clienti e se i clienti si fidano di loro è all'altezza di entrambe le parti.
Per il tuo esempio di sito web e app che non memorizza informazioni personali. Se si dispone di un sito Web, si sta già elaborando PII (ad esempio l'indirizzo IP), quindi non è necessario indicare facilmente che non si stanno elaborando informazioni personali perché è probabile che ci si trovi nella maggior parte dei casi (almeno, secondo la GDPR, o se preferisci nell'UE).
Negli Stati Uniti non posso rispondere perché non conosco la legislazione applicabile in dettaglio, speriamo che qualcun altro possa far luce su di esso.