Auch die eventuelle Verarbeitung personenbezogener Daten aufgrund von Rechtsgeschäften dieser Art kann im E-Commerce von Bedeutung sein.

Das Organgesetz 15/1999 über den Schutz personenbezogener Daten regelt die Verarbeitung personenbezogener Daten von Privatpersonen, die öffentliche und private Organisationen bei der Wahrnehmung ihrer Aufgaben erhalten haben. Das Gesetz sieht vor, dass personenbezogene Daten nicht willkürlich verwendet werden dürfen. Ein Verstoß gegen diese gesetzlichen Pflichten wird mit Geldstrafen sanktioniert.

Das Organgesetz gilt für „personenbezogene Daten“, d.h., Informationen über identifizierte oder nicht identifizierte natürliche Personen. Entsprechend gilt es nicht für die Daten von juristischen Personen.

Die Gesetzgebung zum Schutz personenbezogener Daten beruht auf folgenden Prinzipien:

Das Datensubjekt muss zuvor in die Verarbeitung seiner personenbezogenen Daten einwilligen; hierfür gelten die gesetzlich vorgesehenen Ausnahmen.

- Die Verarbeitung bestimmter geschützter Daten (d.h., Daten zu Weltanschauung, Gewerkschaftszugehörigkeit, Religions- oder Glaubenszugehörigkeit, ethnischer Zugehörigkeit, Gesundheit und sexuellen Präferenzen) muss von dem Datensubjekt (in den ersten vier Fällen schriftlich) ausdrücklich genehmigt werden.

- Das Datensubjekt muss über verschiedene Sachverhalte im Zusammenhang mit der vorgesehenen Verarbeitung seiner personenbezogenen Daten in Kenntnis gesetzt werden.

- Personenbezogene Daten dürfen nur verarbeitet werden, wenn sie für den Zweck, zu dem sie erhoben wurden, geeignet, relevant und angemessen sind.

- Personenbezogene Daten dürfen jeweils nur nach vorheriger Einwilligung des Datensubjekts an Dritte weitergegeben werden, sofern diese Weitergabe nicht gesetzlich zulässig ist.

- Werden die Daten an eine dritte Partei weitergegeben, die vom Gesetz als Datenverarbeiter eingestuft wird und die Dienstleistungen anbietet, zu denen auch der Zugriff auf diese Daten gehört, so ist die vorherige Einwilligung des Datensubjekts nicht erforderlich. Das Verhältnis muss jedoch in einem Dienstleistungsvertrag, der eine Reihe von gesetzlichen Bestimmungen enthält, geregelt werden.

- Datensubjekte besitzen bezüglich ihrer personenbezogenen Daten die Zugangs-, Richtigstellungs-, Löschungs-, Widerspruchs- und Verarbeitungsrechte.

- Die Einrichtung von Archivierungssystemen für personenbezogene Daten muss zuvor der Datenschutzbehörde gemeldet werden, die mit der Durchsetzung dieser Gesetzgebung betraut ist.

Das Königliche Dekret 994/1999, mit dem die Vorschriften zu Sicherheitsmaßnahmen für automatisierte Archivierungssysteme personenbezogener Daten genehmigt wurden, sieht technische und organisatorische Maßnahmen vor, die zu ergreifen sind, um die Sicherheit von automatischen Archivierungssystemen zu gewährleisten. Diese Maßnahmen variieren je nach Art der zu verarbeitenden personenbezogenen Daten.

Es sollte auch beachtet werden, dass die Weitergabe von Daten im Rahmen internationaler Datenbewegungen vorab vom Leiter der Datenschutzbehörde genehmigt werden muss, falls diese Daten in Länder versendet werden sollen, die über keinen mit Spanien vergleichbaren Datenschutz verfügen. In einigen Sonderfällen gilt diese Regelung nicht, wie etwa dann, wenn das Datensubjekt seine eindeutige Einwilligung für die Weitergabe seiner Daten gibt. In diesem Zusammenhang wird davon ausgegangen, dass die EU-Mitgliedstaaten einen angemessenen Schutz gewährleisten. In anderen Fällen ist eine diesbezügliche Erklärung der EU-Kommission oder die Entscheidung der zuständigen Datenschutzbehörde erforderlich, dass der von dem betreffenden Land gewährleistete Datenschutz ausreicht.

Diesbezüglich sind derzeit erste Vorschriften zur Umsetzung des Organgesetzes 15/1999 über den Schutz personenbezogener Daten in Vorbereitung.