La Ley Orgánica 15/1999 de 13 de diciembre en sus artículos 11 y 21, establece que se podrán realizar cesiones en los casos siguientes: cuando la persona afectada haya dado su consentimiento expreso, cuando los datos hayan sido recogidos en fuentes accesibles al público, cuando se trate de Jueces, Tribunales, Ministerio Fiscal, Defensor del Pueblo, cuando la cesión o comunicación esté prevista en la disposición de creación del fichero o bien cuando una “Ley prevea otra cosa”.

La LOPD será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

En el apartado J) del Artículo 3 de la LOPD, se definen como fuentes accesibles al público: “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso al público, entre otros, las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo”.

En su Artículo 28, Datos incluidos en las fuentes de acceso público, se dice que: ”Los datos personales que figuren en las listas de personas pertenecientes a grupos de profesionales a que se refiere el artículo 3, j) de esta Ley deberán limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado”.

La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento.

Los interesados tendrán derecho a que la entidad responsable del mantenimiento de los listados de los Colegios o Asociaciones profesionales indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial y a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes.

El derecho a la intimidad, elemento básico para la libertad de las personas, está recogido en diferentes artículos de la Constitución Española de 1978, con varios mandatos:

• En el artículo 18.1: Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

• En el artículo 18.4: La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

• En el artículo 10.2: Las normas relativas a los derechos fundamentales, se interpretarán de conformidad con la Declaración Universal de Derechos Humanos y los tratados y acuerdos internacionales sobre las mismas materias ratificados por España.

Fue el Estado Alemán de Hesse quien legisló por primera vez en esta materia en 1970.

El 28 de enero de 1982, el Plenipotenciario de España firmó en Estrasburgo el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981.

En la Unión Europea, la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos, en su el considerando 10 habla del derecho a la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las libertades fundamentales, y en su considerando 11 precisa que los principios de la protección de los derechos y libertades de las personas, y en particular del respeto de la intimidad, amplían y precisan los del Convenio de 28 de enero de 1981 del Consejo de Europa, en lo que respecta al tratamiento de los datos personales.

Sin embargo, el derecho a la protección de los datos de carácter personal no es absoluto y puede restringirse cuando intereses de carácter público específico así lo requieran, siempre que se contemplen en una Ley, necesario en una sociedad democrática, dichos principios generales de interés público pueden interferir como se recoge en el artículo 8 de la Carta europea de Derechos Fundamentales, con la protección de los datos de carácter personal.

En el ámbito de la normalización voluntaria de ISO, en mayo de 2006 en reunión plenaria mundial celebrada en el mes de mayo en Madrid del llamado Subcomité 27 de normalización de la seguridad informática, se aprobó la creación de un grupo de trabajo específico para estudiar la seguridad en la Gestión de Identidades y las Tecnologías que ayudaran a preservar la Privacidad, estudiando las diferentes legislaciones y definiciones de términos que puedan llevar a un consenso para que puedan valer para las organizaciones de los diferentes países que se quieran acoger en un futuro a las normas voluntarias del entorno ISO.