La protección de datos está regulada actualmente en España por la Ley Orgánica 15/1999, de 13 de diciembre. La Agencia de Protección de Datos, principal organismo en este campo, fue creada a raíz de la anterior norma en este campo, la ley Orgánica 5/1992.
Son datos especialmente protegidos los que se refieren al origen racial, salud, vida sexual, ideología, afiliación sindical, religión o creencias. De hecho, está expresamente prohibido crear o mantener ficheros dedicados de forma exclusiva a estos datos.
La ley diferencia entre infracciones leves, graves y muy graves. En este último grupo se incluyen, por ejemplo, la recogida de datos de forma engañosa o la cesión de datos personales sin autorización.
La Agencia de Protección de Datos puede imponer sanciones que oscilan entre los 600 y los 600.000 euros dependiendo de la gravedad, mientras que las faltas muy graves no prescriben hasta tres años después.
Los ciudadanos pueden reclamar el cese del envío de publicidad personalizada a su domicilio.