EPAL, kurz für „Enterprise Privacy Authorization Language“, wurde ursprünglich von IBM entwickelt und 2003 an das World Wide Web Consortium (W3C) übergeben. Es handelt sich um eine formalisierte Sprache, um den Schutz personenbezogener Daten innerhalb eines Unternehmens und organisationsübergreifend durchzusetzen und sicherzustellen. Vereinfacht gesagt: den Daten werden bestimmte Informationen beigefügt. Diese EPAL-Datenschutzinformationen bestimmen dann, wer welche Daten zu welchem Zweck verarbeiten darf. Dabei werden festgelegt: die Datenkategorien, Nutzerkategorien, Verarbeitungszwecke, Gruppen von Handlungen, Verpflichtungen und Bedingungen.
Durch die Möglichkeit der organisationsübergreifenden Funktionsweise von EPAL ist nicht nur die Datensicherheit eines konkreten IdMS gewährleistet, sondern auch die Sicherheit mittels Federation angeschlossener IdMS.
Hier wird der Standard EPAL der Kategorie „Autorisierung“ zugeordnet, ebenfalls richtig wäre der Bereich „Information Protection“.
Technisch gesehen ist EPAL eine Erweiterung von P3P ("Platform for Privacy Preferences"), einer technischen Plattform zum Austausch von Datenschutzinformationen). Die Datenschutzinformationen werden in XML geschrieben. Die aktuelle Version 1.2 stammt aus dem Jahr 2003.