La LOPD sólo va dirigida a la protección de personas físicas, sin embargo, las personas jurídicas también se verán envueltas con la futura Ley de Servicios para la Sociedad de la Información, que se encuentra en avanzados trámites parlamentarios. Ello significa que cualquier tipo de dato de carácter personal que encontremos en cualquier entidad se encuentra protegido por la LOPD.

Son los empresarios y profesionales quienes deben cumplir la Ley, no los ciudadanos.

Por dato de carácter personal la Ley entiende que es cualquier información que identifique o pueda identificar a una persona física (por ello entran en el ámbito de la Ley datos como el nombre, DNI, matrículas, teléfonos,...)

El hecho de tener un fichero con datos implica las siguientes obligaciones: Declararlo ante la Agencia de Protección de Datos, tener el consentimiento de las personas afectadas (a menos que los datos provengan de fuentes accesibles al público que son única y exclusivamente las que señala la Ley, fuentes accesibles al público (repertorios telefónicos, listas de profesionales,...), es otra obligación implementar las medidas de seguridad, según el grado de privacidad de los datos que se traten.

Existen dos figuras principales en el tema de protección de datos, de un lado el responsable del fichero, que será el titular de los datos de carácter personal, (la empresa que tiene los datos) y el encargado del tratamiento que es aquella persona que trata los datos del responsable del fichero (todos los asesores son encargados del tratamiento por cuanto tratan los datos, para realizar impuestos, nóminas, etc...) Por este motivo el artículo 12 de la LOPD exige que entre el responsable de fichero y el encargado del tratamiento haya un contrato, donde se establezca que el asesor trata los datos conforme a las instrucciones del cliente y que no los aplica a ninguna finalidad diferente de la establecida en el contrato. De no existir este contrato la Agencia de Protección de Datos entiende que hay una cesión de Datos, y como la misma no está consentida por los titulares de los datos, el responsable del fichero (la sociedad) podría ser sancionado con una infracción muy grave, y el asesor sería sancionado por una infracción grave. Oscilando las sanciones entre 60.101,21 euros y 601.012 euros.

Es incluso una obligación de los auditores, bajo su responsabilidad, el señalar la salvedad si la empresa auditada no cumple la normativa de protección de datos.

Finalmente señalar que el plazo para declarar los ficheros que contengan datos de carácter personal de nivel alto finaliza el mes de Junio de 2002.