La Constitución Española, en su artículo 18, garantiza el derecho a la intimidad personal y familiar y a la propia imagen, imponiendo al poder legislativo la obligación de garantizar su pleno ejercicio y el deber de limitar el uso de la Informática. En razón a ello, es promulgada la Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Esta Ley impone una serie de obligaciones, para aquellas Entidades Públicas o Privadas que posean ficheros con datos de carácter personal. En concreto y muy resumidamente las siguientes:
Calidad de los datos: Los datos de carácter personal recogidos deberán ser adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido, y no podrán usarse para otras. Serán exactos y deberán ser actualizados y serán cancelados cuando hayan dejado de ser necesarios o pertinentes.

Deber de secreto: Quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto.

Información en la recogida de datos: Los interesados deberán ser previamente informados, de modo expreso, preciso e inequívoco de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad, y de los destinatarios de la información, del carácter obligatorio o facultativo, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación, y de la identidad y dirección del responsable del tratamiento.

Consentimiento del afectado: El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa. No será necesario dicho consentimiento cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas, sean necesarios para un contrato o figuren en fuentes accesibles al público.

Comunicación o cesión de datos: Sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo Consentimiento del interesado. Este consentimiento no será preciso cuando la cesión esté autorizada en una Ley, o el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente dicho tratamiento y cesión, o cuando los datos procedan de fuentes accesibles al público.

Tratamiento por cuenta de terceros: Deberá estar regulado en un contrato y constar formalizado de manera que permita acreditarse su celebración y contenido.
Inscripción de los ficheros en el Registro General de la Agencia Española de Protección de Datos: Los ficheros deberán inscribirse expresa e individualmente en los registros que al efecto lleva la Agencia de Protección de Datos.
Derecho de los afectados de acceso, rectificación y cancelación: Deberá garantizarse el derecho de los interesados al acceso, rectificación y cancelación de los datos que estén siendo tratados y la forma y manera de hacerlo.

Auditorías y medidas de seguridad: Se establecen un serie de medidas de índole técnica y organizativas destinadas a garantizar la seguridad que deben reunir los ficheros, centros de tratamiento, locales, equipos, sistemas, programas y personas que intervengan en el tratamiento, estableciéndose tres niveles de seguridad: Básico, Medio y Alto, a los cuales serán aplicables unas u otras. La aplicación de estas medidas, según el nivel de seguridad, requerirá de la redacción e implantación del documento de seguridad y en su caso deberán estar Auditadas cada dos años.

Infracciones y sanciones: La Ley clasifica las infracciones en leves, graves y muy graves, imponiendo sanciones que van, para las leves, de 601 € a 60.101 €; para las graves, de 60.101 € a 300.506 €; y para las muy graves, de 300.506 € a 601.012 €.