La Ley Orgánica de Protección de Datos Personales define el término dato personal como aquel dato que identifica o hace identificable a una persona natural, directa o indirectamente. Esta norma se aplica al tratamiento de datos personales contenidos en cualquier tipo de soporte, automatizados o no, buscando así garantizar el ejercicio del derecho a la protección de datos personales, consagrado en la Constitución, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección.

Para tratar los datos personales existe tanto un encargado como un responsable de los mismos, el encargado es aquella persona que trata los datos personales a nombre y por cuenta de un responsable, siendo este la persona que decide sobre la finalidad y el tratamiento de los datos.

Este tratamiento debe estar sujeto al debido sigilo, es decir, que no debe tratarse para un fin distinto para el cual fue recogido, salvo concurra alguna causal que habilite un nuevo tratamiento. Para lograrlo, tanto el encargado como el responsable del tratamiento deben implementar todas las medidas técnicas de seguridad necesarias.

Los datos personales se podrán tratar cuando se cuente con la manifestación de la voluntad del titular para hacerlo, la cual debe ser libre, especifica, informada e inequívoca. En cualquier momento, el titular puede retirar el consentimiento sin justificación alguna. El titular tiene derecho a conocer y obtener, gratuitamente del responsable del tratamiento, acceso a todos sus datos personales sin necesidad de que se justifique la necesidad de los mismos.